windbg/sos - Error code - 0x000021BE
windbg에서 sos 로딩을 위한 cordll 명령어 실행 시 다음과 같은 오류가 발생할 수 있습니다.
0:000> .cordll -lp C:\temp
Failed to verify signature of file: C:\temp\mscordacwks.dll
Error code - 0x000021BE
Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions is enabled, set to false to disable.
dx @$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false
CLRDLL: Consider using ".cordll -lp <path>" command to specify .NET runtime directory.
CLR DLL status: ERROR: Unable to load DLL C:\temp\mscordacwks_AMD64_AMD64_4.0.30319.18449.dll, Win32 error 0n87
사실 오류 메시지에 답이 있으므로 잘 보셨다면 금방 해결할 수 있었을 텐데요, ^^ 단순히 다음과 같은 명령어를 windbg 명령어 입력 화면에서 수행하면 됩니다.
0:000> dx @$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false
@$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false : false
혹은 출력 화면 자체에
DML 처리가 되어 있어 그냥 해당 링크를 눌러도 됩니다. 그런 다음, 다시 시도하면 로딩이 잘 됩니다.
0:000> .cordll -lp C:\temp
CLR DLL status: Loaded DLL C:\temp\mscordacwks.dll
그런데,
메모리 덤프를 떴던 서버로부터 복사해 온 mscordacwks.dll을 왜 서명 확인을 못하는 것일까요? 재미있는 건, 탐색기의 파일 속성 창으로는 정상적인 인증서로 서명된 것을 볼 수 있습니다.
windbg에서 발생한 0x000021BE 오류 코드는 "The specified
OID cannot be found."인데요, 구체적으로 어떤 OID 값인지 출력하지 않고 있으므로 딱히 더 추적해 볼 것이 없습니다.
혹시
signtool로 결과를 좀 더 확인해 볼 수 있을까요?
C:\temp> signtool verify c:\windows\system32\kernel32.dll
File: c:\windows\system32\kernel32.dll
Index Algorithm Timestamp
========================================
0 sha256 RFC3161
Successfully verified: c:\windows\system32\kernel32.dll
C:\temp> signtool verify mscordacwks.dll
File: mscordacwks.dll
Index Algorithm Timestamp
========================================
SignTool Error: The signing certificate is not valid for the requested usage.
This error sometimes means that you are using the wrong verification
policy. Consider using the /pa option.
Number of errors: 1
kernel32.dll을 정상적으로 검증한 반면 mscordacwks.dll은 오류 항목이 하나 나옵니다. 보면, /pa 옵션을 넣어보라고 하는데요,
C:\temp> signtool verify /pa mscordacwks.dll
File: mscordacwks.dll
Index Algorithm Timestamp
========================================
0 sha1 Authenticode
Successfully verified: mscordacwks.dll
아하... 문제가 밝혀졌군요. ^^ 다음의 문서를 보면,
Using SignTool to Verify a File Signature
; https://learn.microsoft.com/en-us/windows/win32/seccrypto/using-signtool-to-verify-a-file-signature
signtool은 기본적으로
"Windows driver"에 해당하는 검증 정책을 적용한다고 합니다. 그래서 단순히 S/W code 서명 인증서에 대해서는 저렇게 검증이 실패하는 것입니다. 그러니까, mscordacwks.dll은 정상적으로 코드 서명용 인증서로 서명이 되었지만, windbg는 커널을 다루는 응용 프로그램이기 때문에 안전을 위해 device driver에나 요구되는 인증서를 요구했던 차이가 있는 것입니다.
마이크로소프트는 커널이 아닌 사용자 모드의 응용 프로그램 디버깅을 위한 대안으로 특별히 ".NET"을 위해 "SecureLoadDotNetExtensions" 옵션을 둔 것 같고, 이 값을 false로 설정하면 그 보안 수준을 낮춰 적용할 수 있게 만든 듯합니다.
참고로, SecureLoadDotNetExtensions 옵션 설정은 windbg를 재시작해도 유지되므로 필요가 없어졌다면 보안을 위해 다시 켜는 것도 좋겠습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]