Microsoft MVP성태의 닷넷 이야기
홈 주인모아 놓은 자료프로그래밍질문/답변사용자 관리 RSS OPML Link
.NET Framework: 2055. 리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 닷넷 모듈을 추출하는 방법 [링크 복사], [링크+제목 복사],
조회: 5754
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
http://www.sysnet.pe.kr
첨부 파일
 

(시리즈 글이 6개 있습니다.)
Linux: 26. .NET Core 응용 프로그램을 위한 메모리 덤프 방법
; https://www.sysnet.pe.kr/2/0/12078

Linux: 27. linux - lldb를 이용한 .NET Core 응용 프로그램의 메모리 덤프 분석 방법
; https://www.sysnet.pe.kr/2/0/12083

.NET Framework: 2053. 리눅스 환경의 .NET Core 3/5+ 메모리 덤프를 분석하는 방법 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/13135

.NET Framework: 2054. .NET Core/5+ SDK 설치 없이 dotnet-dump 사용하는 방법
; https://www.sysnet.pe.kr/2/0/13136

.NET Framework: 2055. 리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 닷넷 모듈을 추출하는 방법
; https://www.sysnet.pe.kr/2/0/13137

.NET Framework: 2057. 리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 모든 닷넷 모듈을 추출하는 방법
; https://www.sysnet.pe.kr/2/0/13139



리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 닷넷 모듈을 추출하는 방법

윈도우 환경이라면,

windbg - 풀 덤프 파일로부터 .NET DLL을 추출/저장하는 방법
; https://www.sysnet.pe.kr/2/0/10943

위의 글에 설명한 방법으로 !savemodule 명령어를 이용하면 닷넷 모듈을 추출할 수 있습니다. 그런데, 리눅스 환경의 닷넷 코어/5+에서는 sos 확장에 savemodule을 웬일인지 지원하지 않습니다. 그래도 뭔가 방법이 있으니까 이 글을 썼겠죠? ^^



어차피, .NET 모듈의 포맷은 운영체제 환경에 따라 달라지는 것은 아니므로 우리가 알아내야 할 것은 결국 메모리 덤프 파일 내에서의 이미지 주소를 어떻게 구하느냐에 따라 결정됩니다.

다행히, dotnet-dump는 (windbg와 유사하게) lm/modules 또는 clrmodules 명령을 제공하므로,

Analyze SOS commands
; https://learn.microsoft.com/en-us/dotnet/core/diagnostics/dotnet-dump#analyze-sos-commands

이것을 실행하면 각 모듈의 시작과 크기를 알 수 있습니다.

$ dotnet-dump analyze core_20221004_133846
Loading core dump: core_20221004_133846 ...
Ready to process analysis commands. Type 'help' to list available commands or 'help [command]' to get detailed help on a command.
Type 'quit' or 'exit' to exit the session.

> lm
...[생략]...
00007FAA1C093000 00061000 /app/System.Configuration.ConfigurationManager.dll
00007FB6D0020000 00042000 /app/log4net.dll
00007FB6D7C20000 00055200 /usr/share/dotnet/shared/Microsoft.NETCore.App/3.1.22/System.Net.WebClient.dll
...[생략]...

> clrmodules
...[생략]...
00007FAA1C093000 00060A68 /app/System.Configuration.ConfigurationManager.dll
00007FB6D0020000 0003F000 /app/log4net.dll
00007FB6D7C20000 00055200 /usr/share/dotnet/shared/Microsoft.NETCore.App/3.1.22/System.Net.WebClient.dll
...[생략]...
>

lm/modules 명령은 native 모듈까지 모두 열람하므로 닷넷 모듈만 보여주는 clrmodules 명령어를 사용하는 것이 좀 더 출력을 (그래도 많지만) 단순화할 수 있습니다. 그런데, 다소 혼란스러운 것은 2개의 명령어가 출력하는 모듈의 시작 주소는 같은 반면, 크기가 다소 다른 경우가 있습니다.

위의 예제에서 log4net.dll은 lm 쪽의 것이 파일의 크기가 더 큽니다. 파일 파서를 작성해 보신 분이라면 짐작하시겠지만, 보통은 더 많은 바이트를 확보하는 것은 문제가 되지 않으므로 의심스러우면 00042000 크기를 선택하면 됩니다. 어쨌든, 실제로 테스트를 해보면 될 일이죠? ^^

아쉽게도, dotnet-dump로는 덤프 파일로부터 특정 메모리의 내용을 파일로 저장할 수 있는 기능이 없으므로, 이제부터는 windbg로 덤프 파일을 열어야 합니다.

이를 위해 "core_20221007_000149" 파일에 ".dmp" 확장자를 주고 Windbg Preview 버전으로 열면, 다음과 같이 .writemem 명령어를 이용해 덤프 파일 내의 특정 메모리 위치를 파일로 저장할 수 있습니다.

0:000> .writemem c:\temp\log4net.dll 00007FB6D0020000 L 0003F000
Writing 3f000 bytes.............................

그리고 이것을 dnSpy와 같은 도구로 열어 보면,

module_from_dotnet_dump_1.png

decompiler가 잘 파싱하고 있습니다. ^^



[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 10/8/2022]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com
비밀번호
댓글 작성자
 


... 46  47  48  49  50  51  52  53  54  55  56  [57]  58  59  60  ...
NoWriterDateCnt.TitleFile(s)
12207정성태4/2/20208951스크립트: 19. Windows PowerShell의 NonInteractive 모드
12206정성태4/2/202011244오류 유형: 613. 파일 잠금이 바로 안 풀린다면? - The process cannot access the file '...' because it is being used by another process.
12205정성태4/2/20208637스크립트: 18. Powershell에서는 cmd.exe의 명령어를 지원하진 않습니다.
12204정성태4/1/20208439스크립트: 17. Powershell 명령어에 ';' (semi-colon) 문자가 포함된 경우
12203정성태3/18/202010476오류 유형: 612. warning: 'C:\ProgramData/Git/config' has a dubious owner: '...'.
12202정성태3/18/202013093개발 환경 구성: 486. .NET Framework 프로젝트를 위한 GitLab CI/CD Runner 구성
12201정성태3/18/202010887오류 유형: 611. git-credential-manager.exe: Using credentials for username "Personal Access Token". [1]
12200정성태3/18/202011327VS.NET IDE: 145. NuGet + Github 라이브러리 디버깅 관련 옵션 3가지 - "Enable Just My Code" / "Enable Source Link support" / "Suppress JIT optimization on module load (Managed only)"
12199정성태3/17/20209179오류 유형: 610. C# - CodeDomProvider 사용 시 Unhandled Exception: System.IO.DirectoryNotFoundException: Could not find a part of the path '...\f2_6uod0.tmp'.
12198정성태3/17/202011919오류 유형: 609. SQL 서버 접속 시 "Cannot open user default database. Login failed."
12197정성태3/17/202011064VS.NET IDE: 144. .NET Core 콘솔 응용 프로그램을 배포(publish) 시 docker image 자동 생성 - 두 번째 이야기 [1]
12196정성태3/17/20208994오류 유형: 608. The ServicedComponent being invoked is not correctly configured (Use regsvcs to re-register).
12195정성태3/16/202010707.NET Framework: 902. C# - 프로세스의 모든 핸들을 열람 - 세 번째 이야기
12194정성태3/16/202013028오류 유형: 607. PostgreSQL - Npgsql.NpgsqlException: sorry, too many clients already
12193정성태3/16/20209707개발 환경 구성: 485. docker - SAP Adaptive Server Enterprise 컨테이너 실행 [1]
12192정성태3/14/202012153개발 환경 구성: 484. docker - Sybase Anywhere 16 컨테이너 실행
12191정성태3/14/202012527개발 환경 구성: 483. docker - OracleXE 컨테이너 실행 [1]
12190정성태3/14/20208645오류 유형: 606. Docker Desktop 업그레이드 시 "The process cannot access the file 'C:\Program Files\Docker\Docker\resources\dockerd.exe' because it is being used by another process."
12189정성태3/13/202013488개발 환경 구성: 482. Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙
12188정성태3/13/202015790Windows: 169. 부팅 시점에 실행되는 chkdsk 결과를 확인하는 방법
12187정성태3/12/20208465오류 유형: 605. NtpClient was unable to set a manual peer to use as a time source because of duplicate error on '...'.
12186정성태3/12/20209538오류 유형: 604. The SysVol Permissions for one or more GPOs on this domain controller and not in sync with the permissions for the GPOs on the Baseline domain controller.
12185정성태3/11/202010231오류 유형: 603. The browser service was unable to retrieve a list of servers from the browser master...
12184정성태3/11/202011639오류 유형: 602. Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is unavailable. [3]
12183정성태3/11/202010008오류 유형: 601. Warning: DsGetDcName returned information for \\[...], when we were trying to reach [...].
12182정성태3/11/202011216.NET Framework: 901. C# Windows Forms - Vista/7 이후의 Progress Bar 업데이트가 느린 문제파일 다운로드1
... 46  47  48  49  50  51  52  53  54  55  56  [57]  58  59  60  ...