닷넷 응용 프로그램에서 특정 예외가 발생했을 때 풀 덤프 받는 방법
예전에 EXE 프로세스에 대한 풀 덤프 받는 방법을 소개해 드렸지요. ^^
풀 덤프 파일을 남기는 방법
; https://www.sysnet.pe.kr/2/0/991
windbg - 분석 예: 시작하자마자 비정상 종료하는 프로세스 - NullReferenceException
; https://www.sysnet.pe.kr/2/0/996
그러고 보니, 한 가지 빼 먹은 것이 있는데요. 바로 "특정 닷넷 예외"가 발생했을 때 풀 덤프를 받는 방법입니다. 다행히 procdump 도구가 있어서 이런 문제가 쉽게 해결될 수 있는데요.
Sysinternals - ProcDump
; https://learn.microsoft.com/en-us/sysinternals/downloads/procdump
방법은 대상 프로세스에 대해 "-f" 인자를 주어서 닷넷 예외에 해당하는 문자열을 명시하면 procdump는 그 문자열을 포함한 예외가 발생할 때마다 풀 덤프를 남깁니다.
예를 들어, 다음과 같이 실행해 두면,
procdump -ma -e 1 -f BadImage 9744
PID == 9744인 프로세스에 대해 System.BadImageFormatException이 발생(-f BadImage)하면 풀 덤프(-ma) 파일을 한 번(-e 1) 남기게 됩니다.
이렇게 해서 생성된 풀 덤프파일을 windbg 내에 로드하고 sos.dll로 디버깅을 하면 다음과 같이 예외가 발생한 콜 스택을 확인할 수 있습니다.
0:002> !pe
Exception object: 1a08d778
Exception type: System.BadImageFormatException
Message: 클래스 토큰이 잘못되었습니다.
InnerException: <none>
StackTrace (generated):
SP IP Function
00EAE658 068B6160 CuModule!UserSystem.Management.Process(System.String ByRef)+0x300
StackTraceString: <none>
HResult: 8007000b
Function 컬럼에서 !(느낌표) 이전의 CuModule이 어셈블리 이름에 해당하는데요. 이 어셈블리를 풀 덤프 파일로부터 추출하는 것이 가능합니다. 이를 위해 해당 어셈블리의 로드된 시작 주소를 lm 명령어로 알아냅니다.
0:002> lm
start end module name
00910000 00e6b000 xpsp2res (no symbols)
01370000 01384000 odbcint (no symbols)
027c0000 027f4000 CuModule (no symbols)
...[생략]...
7e020000 7e02f000 samlib (pdb symbols) c:\symbols\samlib.pdb\D3B8A84E45914172A54566AB1C209FC42\samlib.pdb
7f000000 7f009000 lpk (pdb symbols) c:\symbols\lpk.pdb\3695A0DA19AD417C9E269A4B06A38E9D1\lpk.pdb
시작 주소 값으로 !savemodule SOS 확장 명령어를 사용하면 다음과 같이 원본 DLL 파일로 복원됩니다.
0:002> !savemodule 027c0000 C:\temp\CuModule.dll
4 sections in file
section 0 - VA=2000, VASize=2a794, FileAddr=400, FileSize=2a800
section 1 - VA=2e000, VASize=69, FileAddr=2ac00, FileSize=200
section 2 - VA=30000, VASize=7e8, FileAddr=2ae00, FileSize=800
section 3 - VA=32000, VASize=c, FileAddr=2b600, FileSize=200
이후부터는 .NET Reflector를 사용해서 역어셈블을 하여 오류가 발생한 위치를 추적해 나갈 수 있습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]