windbg - 덤프 파일로부터 네이티브 DLL을 추출하는 방법

예전에, 덤프 파일로부터 .NET DLL을 추출하는 방법(!savemodule [주소] [저장파일])을 설명했었는데요.

닷넷 응용 프로그램에서 특정 예외가 발생했을 때 풀 덤프받는 방법
; https://www.sysnet.pe.kr/2/0/1376

검색해 보니 네이티브 DLL도 추출할 수가 있군요. ^^

Special Command - Saving Modules Using .writemem
; http://blogs.msdn.com/b/debuggingtoolbox/archive/2009/09/23/special-command-saving-modules-using-writemem.aspx

어디 실습을 한번 해볼까요?

0:000> lm
start             end                 module name
...[생략]...           
00000000`00d60000 00000000`00daa000   XAPI       (deferred)             
...[생략]...           
000007fe`ffd10000 000007fe`ffd5d000   ws2_32     (deferred)             

Unloaded modules:
00000000`75620000 00000000`756e9000   MSVCR80.dll
...[생략]...           
00000000`6e660000 00000000`6e680000   ATL80.DLL
00000000`00ff0000 00000000`0103a000   XAPI.dll

lm 명령을 내리는 경우 마지막에 "Unloaded modules" 목록이 나오는데요. 그 부분은 무시해야 합니다. 거기의 주소는 사용하면 안 되고, 그 윗부분에 로드되어 있는 목록의 주소를 writemem 명령어의 인자로 전달합니다. 예를 들어, 위의 결과에서 XAPI.dll 을 저장하고 싶다면 다음과 같이 명령어를 실행합니다.

0:000> .writemem C:\temp\dll\XAPI.dll 0000000000d60000 (0000000000daa000 - 0x1)
Writing 4a000 bytes............

또는, 길이를 "L" 인자와 함께 지정해도 됩니다.

0:000> ? 0000000000daa000 -0000000000d60000
Evaluate expression: 303104 = 00000000`0004a000

0:000> .writemem C:\temp\dll\XAPI.dll 00000000`00d60000 L 0004a000
Writing 4a000 bytes............

물론, 메모리에 올라와 있는 것이기 때문에 파일로 존재할 때의 PE 포맷과는 다릅니다. 그래서, 보통은 DLL 파일을 저장하는 용도 보다는 디버깅하다가 포인터 변수를 추적하면서 대량의 바이너리 데이터를 분석할 필요가 있을 때 유용할 수 있습니다. ^^

참고로, 위와 같이 저장한 DLL이 .NET DLL이라면 Decompiler 도구 등을 이용해 역어셈블하는 것도 가능합니다.

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 12/12/2012]
[최종 수정일: 7/13/2022]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com