windbg/sos - Error code - 0x000021BE

windbg에서 sos 로딩을 위한 cordll 명령어 실행 시 다음과 같은 오류가 발생할 수 있습니다.

0:000> .cordll -lp C:\temp
Failed to verify signature of file: C:\temp\mscordacwks.dll
Error code - 0x000021BE
Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions is enabled, set to false to disable.
dx @$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false
CLRDLL: Consider using ".cordll -lp <path>" command to specify .NET runtime directory.
CLR DLL status: ERROR: Unable to load DLL C:\temp\mscordacwks_AMD64_AMD64_4.0.30319.18449.dll, Win32 error 0n87

사실 오류 메시지에 답이 있으므로 잘 보셨다면 금방 해결할 수 있었을 텐데요, ^^ 단순히 다음과 같은 명령어를 windbg 명령어 입력 화면에서 수행하면 됩니다.

0:000> dx @$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false
@$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false : false

혹은 출력 화면 자체에 DML 처리가 되어 있어 그냥 해당 링크를 눌러도 됩니다. 그런 다음, 다시 시도하면 로딩이 잘 됩니다.

0:000> .cordll -lp C:\temp
CLR DLL status: Loaded DLL C:\temp\mscordacwks.dll

그런데, 메모리 덤프를 떴던 서버로부터 복사해 온 mscordacwks.dll을 왜 서명 확인을 못하는 것일까요? 재미있는 건, 탐색기의 파일 속성 창으로는 정상적인 인증서로 서명된 것을 볼 수 있습니다.

windbg에서 발생한 0x000021BE 오류 코드는 "The specified OID cannot be found."인데요, 구체적으로 어떤 OID 값인지 출력하지 않고 있으므로 딱히 더 추적해 볼 것이 없습니다.

혹시 signtool로 결과를 좀 더 확인해 볼 수 있을까요?

C:\temp> signtool verify c:\windows\system32\kernel32.dll
File: c:\windows\system32\kernel32.dll
Index  Algorithm  Timestamp
========================================
0      sha256     RFC3161

Successfully verified: c:\windows\system32\kernel32.dll

C:\temp> signtool verify mscordacwks.dll
File: mscordacwks.dll
Index  Algorithm  Timestamp
========================================
SignTool Error: The signing certificate is not valid for the requested usage.
        This error sometimes means that you are using the wrong verification
        policy. Consider using the /pa option.

Number of errors: 1

kernel32.dll을 정상적으로 검증한 반면 mscordacwks.dll은 오류 항목이 하나 나옵니다. 보면, /pa 옵션을 넣어보라고 하는데요,

C:\temp> signtool verify /pa mscordacwks.dll
File: mscordacwks.dll
Index  Algorithm  Timestamp
========================================
0      sha1       Authenticode

Successfully verified: mscordacwks.dll

아하... 문제가 밝혀졌군요. ^^ 다음의 문서를 보면,

Using SignTool to Verify a File Signature
; https://learn.microsoft.com/en-us/windows/win32/seccrypto/using-signtool-to-verify-a-file-signature

signtool은 기본적으로 "Windows driver"에 해당하는 검증 정책을 적용한다고 합니다. 그래서 단순히 S/W code 서명 인증서에 대해서는 저렇게 검증이 실패하는 것입니다. 그러니까, mscordacwks.dll은 정상적으로 코드 서명용 인증서로 서명이 되었지만, windbg는 커널을 다루는 응용 프로그램이기 때문에 안전을 위해 device driver에나 요구되는 인증서를 요구했던 차이가 있는 것입니다.

마이크로소프트는 커널이 아닌 사용자 모드의 응용 프로그램 디버깅을 위한 대안으로 특별히 ".NET"을 위해 "SecureLoadDotNetExtensions" 옵션을 둔 것 같고, 이 값을 false로 설정하면 그 보안 수준을 낮춰 적용할 수 있게 만든 듯합니다.

참고로, SecureLoadDotNetExtensions 옵션 설정은 windbg를 재시작해도 유지되므로 필요가 없어졌다면 보안을 위해 다시 켜는 것도 좋겠습니다.

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 10/19/2022]
[최종 수정일: 10/19/2022]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
11224	정성태	6/13/2017	18099	.NET Framework: 661. Json.NET의 DeserializeObject 수행 시 속성 이름을 동적으로 바꾸는 방법	1
11223	정성태	6/12/2017	16813	개발 환경 구성: 318. WCF Service Application과 WCFTestClient.exe
11222	정성태	6/10/2017	20529	오류 유형: 399. WCF - A property with the name 'UriTemplateMatchResults' already exists.	1
11221	정성태	6/10/2017	17428	오류 유형: 398. Fakes - Assembly 'Jennifer5.Fakes' with identity '[...].Fakes, [...]' uses '[...]' which has a higher version than referenced assembly '[...]' with identity '[...]'
11220	정성태	6/10/2017	22850	.NET Framework: 660. Shallow Copy와 Deep Copy [1]	2
11219	정성태	6/7/2017	18201	.NET Framework: 659. 닷넷 - TypeForwardedFrom / TypeForwardedTo 특성의 사용법
11218	정성태	6/1/2017	20987	개발 환경 구성: 317. Hyper-V 내의 VM에서 다시 Hyper-V를 설치: Nested Virtualization
11217	정성태	6/1/2017	16879	오류 유형: 397. initerrlog: Could not open error log file 'C:\...\MSSQL12.MSSQLSERVER\MSSQL\Log\ERRORLOG'
11216	정성태	6/1/2017	18994	오류 유형: 396. Activation context generation failed
11215	정성태	6/1/2017	19906	오류 유형: 395. 관리 콘솔을 실행하면 "This app has been blocked for your protection" 오류 발생 [1]
11214	정성태	6/1/2017	17634	오류 유형: 394. MSDTC 서비스 시작 시 -1073737712(0xC0001010) 오류와 함께 종료되는 문제 [1]
11213	정성태	5/26/2017	22424	오류 유형: 393. TFS - The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
11212	정성태	5/26/2017	21764	오류 유형: 392. Windows Server 2016에 KB4019472 업데이트가 실패하는 경우
11211	정성태	5/26/2017	20786	오류 유형: 391. BeginInvoke에 전달한 람다 함수에 CS1660 에러가 발생하는 경우
11210	정성태	5/25/2017	21277	기타: 65. ActiveX 없는 전자 메일에 사용된 "개인정보 보호를 위해 암호화된 보안메일"의 암호화 방법
11209	정성태	5/25/2017	68171	Windows: 143. Windows 10의 Recovery 파티션을 삭제 및 새로 생성하는 방법 [16]
11208	정성태	5/25/2017	27899	오류 유형: 390. diskpart의 set id 명령어에서 "The specified type is not in the correct format." 오류 발생
11207	정성태	5/24/2017	28171	Windows: 142. Windows 10의 복구 콘솔로 부팅하는 방법
11206	정성태	5/24/2017	21446	오류 유형: 389. DISM.exe - The specified image in the specified wim is already mounted for read/write access.
11205	정성태	5/24/2017	21256	.NET Framework: 658. C#의 tail call 구현은? [1]
11204	정성태	5/22/2017	30787	개발 환경 구성: 316. 간단하게 살펴보는 Docker for Windows [7]
11203	정성태	5/19/2017	18734	오류 유형: 388. docker - Host does not exist: "default"
11202	정성태	5/19/2017	19796	오류 유형: 387. WPF - There is no registered CultureInfo with the IetfLanguageTag 'ug'.
11201	정성태	5/16/2017	22529	오류 유형: 386. WPF - .NET 3.5 이하에서 TextBox에 한글 입력 시 TextChanged 이벤트의 비정상 종료 문제 [1]	1
11200	정성태	5/16/2017	19293	오류 유형: 385. WPF - 폰트가 없어 System.IO.FileNotFoundException 예외가 발생하는 경우
11199	정성태	5/16/2017	21136	.NET Framework: 657. CultureInfo.GetCultures가 반환하는 값

Writer

Date

Cnt.

Title

File(s)

11224

정성태

6/13/2017

18099

.NET Framework: 661. Json.NET의 DeserializeObject 수행 시 속성 이름을 동적으로 바꾸는 방법