Microsoft MVP성태의 닷넷 이야기
오류 유형: 821. windbg/sos - Error code - 0x000021BE [링크 복사], [링크+제목 복사],
조회: 15566
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

windbg/sos - Error code - 0x000021BE

windbg에서 sos 로딩을 위한 cordll 명령어 실행 시 다음과 같은 오류가 발생할 수 있습니다.

0:000> .cordll -lp C:\temp
Failed to verify signature of file: C:\temp\mscordacwks.dll
Error code - 0x000021BE
Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions is enabled, set to false to disable.
dx @$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false
CLRDLL: Consider using ".cordll -lp <path>" command to specify .NET runtime directory.
CLR DLL status: ERROR: Unable to load DLL C:\temp\mscordacwks_AMD64_AMD64_4.0.30319.18449.dll, Win32 error 0n87

사실 오류 메시지에 답이 있으므로 잘 보셨다면 금방 해결할 수 있었을 텐데요, ^^ 단순히 다음과 같은 명령어를 windbg 명령어 입력 화면에서 수행하면 됩니다.

0:000> dx @$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false
@$debuggerRootNamespace.Debugger.Settings.EngineInitialization.SecureLoadDotNetExtensions = false : false

혹은 출력 화면 자체에 DML 처리가 되어 있어 그냥 해당 링크를 눌러도 됩니다. 그런 다음, 다시 시도하면 로딩이 잘 됩니다.

0:000> .cordll -lp C:\temp
CLR DLL status: Loaded DLL C:\temp\mscordacwks.dll




그런데, 메모리 덤프를 떴던 서버로부터 복사해 온 mscordacwks.dll을 왜 서명 확인을 못하는 것일까요? 재미있는 건, 탐색기의 파일 속성 창으로는 정상적인 인증서로 서명된 것을 볼 수 있습니다.

windbg_cordll_error_1.png

windbg에서 발생한 0x000021BE 오류 코드는 "The specified OID cannot be found."인데요, 구체적으로 어떤 OID 값인지 출력하지 않고 있으므로 딱히 더 추적해 볼 것이 없습니다.

혹시 signtool로 결과를 좀 더 확인해 볼 수 있을까요?

C:\temp> signtool verify c:\windows\system32\kernel32.dll
File: c:\windows\system32\kernel32.dll
Index  Algorithm  Timestamp
========================================
0      sha256     RFC3161

Successfully verified: c:\windows\system32\kernel32.dll

C:\temp> signtool verify mscordacwks.dll
File: mscordacwks.dll
Index  Algorithm  Timestamp
========================================
SignTool Error: The signing certificate is not valid for the requested usage.
        This error sometimes means that you are using the wrong verification
        policy. Consider using the /pa option.

Number of errors: 1

kernel32.dll을 정상적으로 검증한 반면 mscordacwks.dll은 오류 항목이 하나 나옵니다. 보면, /pa 옵션을 넣어보라고 하는데요,

C:\temp> signtool verify /pa mscordacwks.dll
File: mscordacwks.dll
Index  Algorithm  Timestamp
========================================
0      sha1       Authenticode

Successfully verified: mscordacwks.dll

아하... 문제가 밝혀졌군요. ^^ 다음의 문서를 보면,

Using SignTool to Verify a File Signature
; https://learn.microsoft.com/en-us/windows/win32/seccrypto/using-signtool-to-verify-a-file-signature

signtool은 기본적으로 "Windows driver"에 해당하는 검증 정책을 적용한다고 합니다. 그래서 단순히 S/W code 서명 인증서에 대해서는 저렇게 검증이 실패하는 것입니다. 그러니까, mscordacwks.dll은 정상적으로 코드 서명용 인증서로 서명이 되었지만, windbg는 커널을 다루는 응용 프로그램이기 때문에 안전을 위해 device driver에나 요구되는 인증서를 요구했던 차이가 있는 것입니다.

마이크로소프트는 커널이 아닌 사용자 모드의 응용 프로그램 디버깅을 위한 대안으로 특별히 ".NET"을 위해 "SecureLoadDotNetExtensions" 옵션을 둔 것 같고, 이 값을 false로 설정하면 그 보안 수준을 낮춰 적용할 수 있게 만든 듯합니다.

참고로, SecureLoadDotNetExtensions 옵션 설정은 windbg를 재시작해도 유지되므로 필요가 없어졌다면 보안을 위해 다시 켜는 것도 좋겠습니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]







[최초 등록일: ]
[최종 수정일: 10/19/2022]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 작성자
 




1  2  3  4  5  6  7  8  [9]  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
13718정성태8/27/20247401오류 유형: 921. Visual C++ - error C1083: Cannot open include file: 'float.h': No such file or directory [2]
13717정성태8/26/20247007VS.NET IDE: 192. Visual Studio 2022 - Windows XP / 2003용 C/C++ 프로젝트 빌드
13716정성태8/21/20246741C/C++: 167. Visual C++ - 윈도우 환경에서 _execv 동작 [1]
13715정성태8/19/20247337Linux: 78. 리눅스 C/C++ - 특정 버전의 glibc 빌드 (docker-glibc-builder)
13714정성태8/19/20246734닷넷: 2295. C# 12 - 기본 생성자(Primary constructors) (책 오타 수정) [3]
13713정성태8/16/20247432개발 환경 구성: 721. WSL 2에서의 Hyper-V Socket 연동
13712정성태8/14/20247210개발 환경 구성: 720. Synology NAS - docker 원격 제어를 위한 TCP 바인딩 추가
13711정성태8/13/20248047Linux: 77. C# / Linux - zombie process (defunct process) [1]파일 다운로드1
13710정성태8/8/20247964닷넷: 2294. C# 13 - (6) iterator 또는 비동기 메서드에서 ref와 unsafe 사용을 부분적으로 허용파일 다운로드1
13709정성태8/7/20247734닷넷: 2293. C# - safe/unsafe 문맥에 대한 C# 13의 (하위 호환을 깨는) 변화파일 다운로드1
13708정성태8/7/20247522개발 환경 구성: 719. ffmpeg / YoutubeExplode - mp4 동영상 파일로부터 Audio 파일 추출
13707정성태8/6/20247754닷넷: 2292. C# - 자식 프로세스의 출력이 4,096보다 많은 경우 Process.WaitForExit 호출 시 hang 현상파일 다운로드1
13706정성태8/5/20247870개발 환경 구성: 718. Hyper-V - 리눅스 VM에 새로운 디스크 추가
13705정성태8/4/20248139닷넷: 2291. C# 13 - (5) params 인자 타입으로 컬렉션 허용 [2]파일 다운로드1
13704정성태8/2/20248095닷넷: 2290. C# - 간이 dotnet-dump 프로그램 만들기파일 다운로드1
13703정성태8/1/20247422닷넷: 2289. "dotnet-dump ps" 명령어가 닷넷 프로세스를 찾는 방법
13702정성태7/31/20247821닷넷: 2288. Collection 식을 지원하는 사용자 정의 타입을 CollectionBuilder 특성으로 성능 보완파일 다운로드1
13701정성태7/30/20248092닷넷: 2287. C# 13 - (4) Indexer를 이용한 개체 초기화 구문에서 System.Index 연산자 허용파일 다운로드1
13700정성태7/29/20247689디버깅 기술: 200. DLL Export/Import의 Hint 의미
13699정성태7/27/20248222닷넷: 2286. C# 13 - (3) Monitor를 대체할 Lock 타입파일 다운로드1
13698정성태7/27/20248178닷넷: 2285. C# - async 메서드에서의 System.Threading.Lock 잠금 처리파일 다운로드1
13697정성태7/26/20247905닷넷: 2284. C# - async 메서드에서의 lock/Monitor.Enter/Exit 잠금 처리파일 다운로드1
13696정성태7/26/20247439오류 유형: 920. dotnet publish - error NETSDK1047: Assets file '...\obj\project.assets.json' doesn't have a target for '...'
13695정성태7/25/20247422닷넷: 2283. C# - Lock / Wait 상태에서도 STA COM 메서드 호출 처리파일 다운로드1
13694정성태7/25/20247886닷넷: 2282. C# - ASP.NET Core Web App의 Request 용량 상한값 (Kestrel, IIS)
13693정성태7/24/20247218개발 환경 구성: 717. Visual Studio - C# 프로젝트에서 레지스트리에 등록하지 않은 COM 개체 참조 및 사용 방법파일 다운로드1
1  2  3  4  5  6  7  8  [9]  10  11  12  13  14  15  ...