Windbg - 리눅스에서 뜬 닷넷 응용 프로그램 덤프 파일에 포함된 DLL의 Export Directory 탐색
리눅스에서 실행한 닷넷 응용 프로그램을 "dotnet-dump"로 덤프를 뜰 수 있는데요, 재미있게도 해당 덤프 파일을 Windbg에서도 그대로 열어 분석할 수 있습니다.
예를 들어, lm 명령을 내리면 이렇게 로딩된 PE 목록이 나오는데요,
0:000> lm
start end module name
000055c1`e5672000 000055c1`e5696000 dotnet (deferred)
00007f34`35a30000 00007f34`36338400 System_Private_CoreLib (deferred)
...[생략]...
아쉬운 것은, 윈도우와는 달리 dt 명령어들이 동작하지 않지만,
0:000> dt -n _IMAGE_DOS_HEADER
...[생략]...
Symbol _IMAGE_DOS_HEADER not found.
그래도 PE(Portable Executable) 구조를 따라
닷넷 DLL들이 만들어지기 때문에 기존 지식을 활용해 분석할 수는 있습니다.
게다가 windbg의 명령어들은 여전히 동작하는데요, 다행히 그중
dh도 있습니다.
0:000> !dh 00007f34`35a30000 -f
File Type: DLL
FILE HEADER VALUES
FD1D machine (Unknown)
3 number of sections
99DB2862 time date stamp Thu Oct 19 06:19:30 2051
0 file pointer to symbol table
0 number of symbols
F0 size of optional header
2022 characteristics
Executable
App can handle >2gb addresses
DLL
OPTIONAL HEADER VALUES
20B magic #
11.00 linker version
0 size of code
0 size of initialized data
0 size of uninitialized data
0 address of entry point
0 base of code
----- new -----
0000000005000000 image base
200 section alignment
200 file alignment
3 subsystem (Windows CUI)
5.02 operating system version
0.00 image version
5.02 subsystem version
908400 size of image
200 size of headers
0 checksum
0000000000400000 size of stack reserve
0000000000004000 size of stack commit
0000000000000000 size of heap reserve
0000000000000000 size of heap commit
8160 DLL characteristics
High entropy VA supported
Dynamic base
NX compatible
Terminal server aware
8F1D5C [ 43] address [size] of Export Directory
0 [ 0] address [size] of Import Directory
42800 [ 494] address [size] of Resource Directory
4301C [ 59124] address [size] of Exception Directory
0 [ 0] address [size] of Security Directory
901E00 [ 6514] address [size] of Base Relocation Directory
8F1894 [ 38] address [size] of Debug Directory
0 [ 0] address [size] of Description Directory
0 [ 0] address [size] of Special Directory
0 [ 0] address [size] of Thread Storage Directory
0 [ 0] address [size] of Load Configuration Directory
0 [ 0] address [size] of Bound Import Directory
0 [ 0] address [size] of Import Address Table Directory
0 [ 0] address [size] of Delay Import Directory
42CA0 [ 48] address [size] of COR20 Header Directory
0 [ 0] address [size] of Reserved Directory
Export DataDirectory의 VirtualAddress == 8F1D5C, Size == 43인데 이를 이용해 IMAGE_EXPORT_DIRECTORY를 덤프해 보면,
0:000> dd 00007f34`35a30000+8F1D5C LA
00007f34`36321d5c 00000000 00000000 00000000 008f1d84
00007f34`36321d6c 00000000 00000000 00000000 00000000
00007f34`36321d7c 00000000 00000000
[StructLayout(LayoutKind.Sequential)]
public struct IMAGE_EXPORT_DIRECTORY
{
public uint Characteristics; // 00000000
public uint TimeDateStamp; // 00000000
public short MajorVersion; // 0000
public short MinorVersion; // 0000
public uint Name; // 008f1d84
public uint Base; // 00000000
public uint NumberOfFunctions; // 00000000
public uint NumberOfNames; // 00000000
public uint AddressOfFunctions; // 00000000
public uint AddressOfNames; // 00000000
public uint AddressOfNameOrdinals; // 00000000
}
보는 바와 같이 DLL의 이름을 가리키는 Name 필드를 제외하고는 설정된 것이 없습니다.
0:000> da 00007f34`35a30000+008f1d84
00007f34`36321d84 "System.Private.CoreLib.dll"
또한,
이전과 달리 Export DataDirectory의 크기가 별도 여분의 공간을 차지하지 않고 정확히 저 DLL 이름까지만 포함하고 있습니다.
0:000> db 00007f34`35a30000+8F1D5C L43
00007f34`36321d5c 00 00 00 00 00 00 00 00-00 00 00 00 84 1d 8f 00 ................
00007f34`36321d6c 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00007f34`36321d7c 00 00 00 00 00 00 00 00-53 79 73 74 65 6d 2e 50 ........System.P
00007f34`36321d8c 72 69 76 61 74 65 2e 43-6f 72 65 4c 69 62 2e 64 rivate.CoreLib.d
00007f34`36321d9c 6c 6c 00
그래서, 거창한 제목과는 달리 ^^ 딱히 Export Data Directory에 대해 탐색할 것이 없습니다.
암튼, .NET DLL이 PE 포맷을 따르는 덕분에 Windbg로 기존 지식을 활용해 분석할 수 있어서
디버깅도 한결 쉽게 되었습니다. ^^
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]