System32 폴더의 64비트 DLL을 32비트 Depends.exe에서 보는 방법
64비트 윈도우 운영체제가 32비트 응용 프로그램에 대해 가능한 투명하게 호환될 수 있는 층을 제공하는 것은 좋지만, 가끔 그 차이를 이해하지 못하면 당황스러울 때가 있습니다.
가령 "Dependency Walker" 프로그램 같은 경우가 그 좋은 예입니다.
JNI DLL 컴파일 시 x86과 x64의 Export된 함수의 이름이 왜 다를까요?
; https://www.sysnet.pe.kr/2/0/1199
수동으로 구성해 본 VC++ 프로젝트 설정: ReleaseMinDependency
; https://www.sysnet.pe.kr/2/0/800
DLL 'xxxxx.dll'을(를) 로드할 수 없습니다.
; https://www.sysnet.pe.kr/2/0/713
예전에 x86 프로세스에서 NtCurrentTeb Win32 API를 P/Invoke로 사용하는 글이 있었는데요.
windbg - .NET Framework 스레드 개체의 COM Apartment 유형 확인하는 방법
; https://www.sysnet.pe.kr/2/0/1351
그 예제를 x64로 바꾸면 다음과 같은 예외가 발생합니다.
System.EntryPointNotFoundException was unhandled by user code
HResult=-2146233053
Message=Unable to find an entry point named 'NtCurrentTeb' in DLL 'ntdll.dll'.
Source=WebApplication1
TypeName=""
StackTrace:
at WebApplication1.WebForm1.NtCurrentTeb()
at WebApplication1.WebForm1.Page_Load(Object sender, EventArgs e) in d:\...\Default.aspx.cs:line 20
at System.Web.UI.Control.LoadRecursive()
at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
InnerException:
즉, ntdll.dll 안에 NtCurrentTeb가 없다는 것인데요. 실제로 그런지 확인하기 위해 depends.exe를 실행하고 탐색기에서 "C:\Windows\System32\ntdll.dll"을 끌어다 놓거나, "File" / "Open" 메뉴를 통해 그 파일을 열면 다음과 같이 32비트 ntdll.dll 파일이 로드됩니다.
왜냐하면, 64비트 윈도우는 32비트 프로세스에게 "C:\Windows\System32" 폴더를 실제로는 "C:\Windows\SysWOW64" 경로로 투명하게 우회시키기 떄문입니다.
물론 해결 방법이 있습니다. ^^ 32비트 프로세스에서 64비트 System32 폴더를 명시적으로 지정하기 위해서는 "Sysnative" 폴더를 대신 사용하면 됩니다. 따라서 ntdll.dll의 경우에는 depends.exe에서 "File" / "Open" 메뉴를 통해 강제로 "C:\Windows\sysnative\ntdll.dll" 위치를 지정해 주어야 합니다.
그럼, 다음과 같이 x64 ntdll.dll 파일을 열 수 있고, 실제로 NtCurrentTeb API가 export 되어 있지 않다는 것을 알 수 있습니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]