리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 모든 닷넷 모듈을 추출하는 방법
지난 글을 통해 개별 모듈을 파일로 저장하는 방법을 설명했으니,
리눅스 환경의 .NET Core 3/5+ 메모리 덤프로부터 닷넷 모듈을 추출하는 방법
; https://www.sysnet.pe.kr/2/0/13137
이제 순서에 따라 ^^ .NET Framework에서 그랬던 것처럼 모든 닷넷 모듈을 파일로 자동 저장하는 방법을,
windbg - 풀 덤프에 포함된 모든 닷넷 모듈을 파일로 저장하는 방법
; https://www.sysnet.pe.kr/2/0/11297
알아보겠습니다. ^^
windbg의 경우, plug-in 규약이 잘 돼 있어 파이썬 스크립트를 쓸 수 있는 pykd 확장이 있었고, 그것의 힘을 빌려 메모리 덤프에 포함된 모든 닷넷 모듈을 자동으로 추출하는데 그다지 어려움이 없었습니다.
반면, dotnet-dump는 아직 딱히 확장 기술이 없는 것 같습니다. 더군다나, windbg의 ".writemem" 같은 명령어도 제공하지 않으므로 이러한 과정을 매끄럽게 할 수 있는 방법이 없습니다. 그리고 이 와중에 예전에 살펴봤던 ClrMD가 눈에 들어오는군요. ^^
.NET 스레드 콜 스택 덤프 (7) - ClrMD(Microsoft.Diagnostics.Runtime)를 이용한 방법
; https://www.sysnet.pe.kr/2/0/11043
ClrMD를 이용해 메모리 덤프 파일로부터 특정 인스턴스를 참조하고 있는 소유자 확인
; https://www.sysnet.pe.kr/2/0/11809
자, 그럼 우선 우리가 해야 할 것은 닷넷 모듈을 찾는 것입니다.
// Install-Package Microsoft.Diagnostics.Runtime
// nuget - Microsoft.Diagnostics.Runtime
// ; https://www.nuget.org/packages/Microsoft.Diagnostics.Runtime/
using Microsoft.Diagnostics.Runtime;
string dumpFilePath = @"C:\temp\core_20221007_000149.dmp";
using (DataTarget target = DataTarget.LoadDump(dumpFilePath))
{
foreach (var module in target.EnumerateModules())
{
if (module.IsManaged == false)
{
continue;
}
Console.WriteLine($"{module.ImageBase:x} {module.ImageSize:x} {module.IsManaged} {module.FileName}");
}
}
출력 결과를 보면,
...[생략]...
7faa1c093000 64000 True /app/System.Configuration.ConfigurationManager.dll
7fb6d0020000 42000 True /app/log4net.dll
7fb6d7c20000 55200 True /usr/share/dotnet/shared/Microsoft.NETCore.App/3.1.22/System.Net.WebClient.dll
...[생략]...
지난 글에 설명한 lm과 clrmodules의 결과와 비교해 또 다른 값이 나오고 있습니다. 다행히 ImageBase 주소는 같고, 단지 ImageSize가 경우에 따라 lm 출력보다 큰 값을 보입니다. (값이 크니 차라리 다행입니다.)
그럼, 이제 게임 끝이군요. 주소와 크기를 구했으니, 그에 해당하는 바이트 스트림을 구해 파일로 출력하기만 하면 됩니다. 아래는 그 모든 코드를 다 합친 결과입니다.
using Microsoft.Diagnostics.Runtime;
string dumpFilePath = @"C:\temp\core_20221007_000149.dmp";
string outputDir = @"C:\temp\output";
using (DataTarget target = DataTarget.LoadDump(dumpFilePath))
{
foreach (var module in target.EnumerateModules())
{
if (module.IsManaged == false)
{
continue;
}
Console.WriteLine($"{module.ImageBase:x} {module.ImageSize:x} {module.IsManaged} {module.FileName}");
Span<byte> buffer = new byte[module.ImageSize];
target.DataReader.Read(module.ImageBase, buffer);
string fileName = Path.GetFileName(module.FileName);
string outputFilePath = Path.Combine(outputDir, fileName);
File.WriteAllBytes(outputFilePath, buffer.ToArray());
}
}
(
첨부 파일은 이 글의 예제 코드를 포함합니다.)
참고로, dotnet-dump의 확장이 없는 것을 아쉬운 대로 redirection을 이용해 우회하는 방법이 있습니다.
How can we script dotnet dump analyze commands?
; https://stackoverflow.com/questions/71803641/how-can-we-script-dotnet-dump-analyze-commands
가령, 닷넷 모듈 주소를 구하는 결과를 다음과 같은 식으로 얻는 것도 가능합니다.
c:\temp> type cmds.txt
clrmodules
quit
c:\temp> dotnet-dump analyze core_20221007_000149.dmp < cmds.txt > output.txt
그럼, output.txt에는 대충 다음과 같은 출력을 얻을 수 있겠고!
Loading core dump: core_20221007_000149.dmp ...
Ready to process analysis commands. Type 'help' to list available commands or 'help [command]' to get detailed help on a command.
Type 'quit' or 'exit' to exit the session.
<END_COMMAND_OUTPUT>
> clrmodules
...[생략]...
00007FAA1C093000 00060A68 /app/System.Configuration.ConfigurationManager.dll
00007FB6D0020000 0003F000 /app/log4net.dll
00007FB6D7C20000 00055200 /usr/share/dotnet/shared/Microsoft.NETCore.App/3.1.22/System.Net.WebClient.dll
...[생략]...
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]