디버깅 기술: 11.1. (Managed) Main Method에 Break Point 걸기

부모글 보이기/감추기

(Managed) Main Method에 Break Point 걸기

[실습 준비]
1. "Debugging Tools for Windows" 설치.
2. 심벌 환경 설정: 커널 구조체 살펴보기 토픽을 참조. 
그냥 간단하게 다음과 같은 환경변수를 추가해 주셔도 됩니다.

환경변수 이름: _NT_SYMBOL_PATH
환경변수 값  : SRV*c:\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;C:\Windows\system32;.

.NET의 JIT 컴파일러는 IL-code를 Natvie-code로 변경하는 작업을, 해당 메서드가 실행되기 바로 직전에 수행합니다. 즉, "클래스" 단위가 아닌 "메서드" 단위로 JIT 컴파일링이 된다는 것인데요. 이에 관해서는 다음의 토픽에서 잘 설명해 주고 있습니다.

Method Calls: Part 1 (Normal Call) 
; http://codebetter.com/blogs/gregyoung/archive/2006/07/20/147512.aspx

위의 토픽에서는 VS.NET 2005 환경에서 SOS.dll만을 가지고 메서드가 JIT 컴파일 되기 전/후의 상황을 Method Description 테이블을 통해서 직접 확인하는 방법을 알려주고 있습니다. 물론, 이것이 현실적으로 직접적인 도움이 되는 지식은 아니지만, 이렇게 눈으로 확인해 봄으로써 .NET에 대한 이해의 깊이를 더해줄 수 있기 때문에, ^^ 시간되시는 분은 따라해 보시기 바랍니다.

결국, 기계가 실행할 수 있는 것은 "Managed"가 아닌 "Unmanaged" 코드임을 알 수 있는데요. 사실, ".NET 어셈블리" 자체도 "Unmanaged 스타트업" 코드가 초기에 실행되어, mscoree.dll에서 제공해 주는 "CLR 호스팅 API"를 사용해서 내부에서 JIT 컴파일러를 통해 적절하게 "Unmanaged" 코드로 변경시켜 주면서 실행해 주는 구조일뿐입니다.

개인적으로, 바로 이 부분에서 의문이 생기더군요. (사실 이것도 그다지 밥벌이하고는 상관없겠지만!) 그렇다면 "Main" 함수에는 어떻게 접근할 수 있을까? 라는 것이었습니다. 이미 .NET 환경이 초기화된 이후에는 sos.dll을 사용해서 적절하게 처리를 할 수 있는 반면 Main 함수 자체는 최초의 실행 코드이기 때문에 그 부분에 BP를 거는 것이 그다지 쉽지는 않을 거란 생각이 들었습니다.

그래도 ^^ 한번 해봐야 겠지요. 그래서 자료를 먼저 찾아보았습니다. 대략 다음과 같은 주옥같은 자료들이 눈에 띄였습니다.

NTSD and SOS basics
; https://docs.microsoft.com/en-us/archive/blogs/thottams/ntsd-and-sos-basics

COM Interop 소개
; https://docs.microsoft.com/en-us/archive/msdn-magazine/2007/january/clr-inside-out-introduction-to-com-interop

Bp at the Main(entry point) function of managed application 
; http://byung.egloos.com/2434057

그럼, 위의 글을 모두 종합해서 ... 저랑 같이 실습을 해볼까요? ^^

0. 테스트 코드

namespace ConsoleApplication1
{
	using System;
	public class Program
	{
		string str;
		public void MyMethod(string arg)
		{
			str = "Member Variable";
		}
		static void Main()
		{
			Program s = new Program();
			s.MyMethod("Hello");
		}
	}
}

1. 디버거 실행

	C:\temp>windbg.exe ConsoleApplication1.exe
	또는
	C:\temp>ntsd.exe ConsoleApplication1.exe

비스타를 사용하시는 분이라면, "NTSD.exe"의 경우에는 "Run as administrator"를 이용하여 명령어 창을 띄운 후, 그 안에서 실행해 주시면 됩니다. (참고로 여기서는 WinDBG.exe를 기준으로 설명하겠지만, 사실 NTSD.exe와 거의 차이가 없습니다.)

위와 같이 실행했으면 화면에는 다음과 같은 텍스트가 보이게 됩니다.

Microsoft (R) Windows Debugger  Version 6.6.0007.5
Copyright (c) Microsoft Corporation. All rights reserved.

CommandLine: D:\temp\DumpTest\ConsoleApplication1\bin\Debug\ConsoleApplication1.exe
Symbol search path is: SRV*\\localhost\d$\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;SRV*\\localhost\d$\Symbol\ProductSymbols;C:\Windows\system32;.
Executable search path is: 
ModLoad: 00920000 00928000   ConsoleApplication1.exe
ModLoad: 77c40000 77d5e000   ntdll.dll
eax=009226fe ebx=7ffd5000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=77ca0f18 esp=001efdb8 ebp=00000000 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000200
ntdll!RtlUserThreadStart:
77ca0f18 89442404        mov     dword ptr [esp+4],eax ss:0023:001efdbc=00000000

로드되자마자 BP가 걸려서 응용 프로그램 실행이 멈춰 있습니다. VS.NET 2005와 비교해 본다면 "F11" 키를 눌러서 디버그 실행을 한 것과 같다고 볼 수 있겠습니다.

2. Symbol 폴더 설정
환경변수에 "_NT_SYMBOL_PATH" 값을 설정하신 분은 건너뛰셔도 됩니다. 만약 하지 않은 경우라면 별도의 ".symfix", ".sympath" 등의 명령어를 사용해서 임의로 구성이 가능합니다.

3. sos.dll 로드 확인
".chain" 명령어를 사용해서 sos 확장 DLL이 로드되었는 지 확인합니다. 아마 "WinDbg 6.6.0007.5" 버전을 사용하고 계신 분이라면, 기본적으로 sos.dll이 로드되었을 것이므로 별도로 명령을 주지 않아도 됩니다. 아래는 실제 실행 예입니다.

0:000> .chain
Extension DLL search Path:
    C:\Program Files\De....[중간 생략]...les\Debugging Tools for Windows\
Extension DLL chain:
    C:\Windows\Microsoft.NET\Framework\v2.0.50727\sos: image 2.0.50727.312, API 1.0.0, built Thu Oct 19 12:37:43 2006
        [path: C:\Windows\Microsoft.NET\Framework\v2.0.50727\sos.dll]
    dbghelp: image 6.6.0007.5, API 6.0.6, built Sun Jul 09 05:11:32 2006
        [path: C:\Program Files\Debugging Tools for Windows\dbghelp.dll]
    ext: image 6.6.0007.5, API 1.0.0, built Sun Jul 09 05:10:52 2006
        [path: C:\Program Files\Debugging Tools for Windows\winext\ext.dll]
    exts: image 6.6.0007.5, API 1.0.0, built Sun Jul 09 05:10:48 2006
        [path: C:\Program Files\Debugging Tools for Windows\WINXP\exts.dll]
    uext: image 6.6.0007.5, API 1.0.0, built Sun Jul 09 05:11:02 2006
        [path: C:\Program Files\Debugging Tools for Windows\winext\uext.dll]
    ntsdexts: image 6.0.5457.0, API 1.0.0, built Sun Jul 09 05:29:38 2006
        [path: C:\Program Files\Debugging Tools for Windows\WINXP\ntsdexts.dll]

참고로, windbg.exe와는 달리 ntsd.exe에서는 기본적으로 sos.dll이 로드되어 있지 않았습니다.

4. sos 확장 API 사용을 위한 프로그램 부분 실행
sos.dll에서 제공되는 확장 명령어를 사용하려면 mscorwks.dll이 로드되어야 합니다. 실제로, mscorwks.dll이 로드되기 전에 sos 명령어를 사용하게 되면 다음과 같은 오류를 보게 됩니다.

0:000> !clrstack
Failed to find runtime DLL (mscorwks.dll), 0x80004005
Extension commands need mscorwks.dll in order to have something to do.

mscorwks.dll을 로드하는 시점까지 프로그램을 실행시키는 방법은 "sxe ld mscorwks" 명령어를 사용하는 방법이 있습니다.
출력 결과는 아래와 같습니다.

0:000> sxe ld mscorwks
0:000> g
ModLoad: 79000000 79045000   C:\Windows\system32\mscoree.dll
ModLoad: 76720000 767f8000   C:\Windows\system32\KERNEL32.dll
(154c.b70): Break instruction exception - code 80000003 (first chance)
eax=00000000 ebx=00000000 ecx=0026f53c edx=77ca0f34 esi=fffffffe edi=77d05d14
eip=77c82ea8 esp=0026f554 ebp=0026f584 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!DbgBreakPoint:
77c82ea8 cc              int     3
0:000> g
ModLoad: 77b80000 77c3f000   C:\Windows\system32\ADVAPI32.dll
ModLoad: 77db0000 77e73000   C:\Windows\system32\RPCRT4.dll
... [중간 생략]...
ModLoad: 76690000 7670d000   C:\Windows\system32\USP10.dll
ModLoad: 752a0000 75434000   C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll
ModLoad: 79e70000 7a3d6000   C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
eax=0026eb90 ebx=00000000 ecx=0026eb88 edx=00343bc2 esi=7ffdf000 edi=20000000
eip=77ca0f34 esp=0026ebcc ebp=0026ec10 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!KiFastSystemCallRet:
77ca0f34 c3              ret

하지만, 아직 CLR에 "ConsoleApplication1"의 IL들이 로드조차 되지 않아서 그런지 sos.dll에서 제공되는 "!bpmd" 메서드를 사용해도 정상적으로 동작되지 않았습니다. 그래서 저 같은 경우에는 일단 "unmanaged" 방식으로 돌아와서 디버깅 방법을 찾기 시작했습니다. 우선, 테스트 소스에서 Main 함수에 예외를 발생하도록 일부러 다음과 같이 수정했습니다.

static void Main()
{
  throw new ApplicationException();
  Program s = new Program();
  s.MyMethod("Hello");
}

빌드하고, windbg.exe로 불러들여서 예외발생까지 코드를 실행시킨 후 "k" 명령어를 통해서 다음과 같이 호출 스택을 얻었습니다.

0:000> g
Tue Feb 27 23:25:40.120 2007 (GMT+9): ModLoad: 77b80000 77c3f000   C:\Windows\system32\ADVAPI32.dll
...[중간 생략]...
Tue Feb 27 23:25:40.300 2007 (GMT+9): ModLoad: 79e70000 7a3d6000   C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
ChildEBP RetAddr  Args to Child              
0026ebc8 77c9fb70 77c6e334 00000054 ffffffff ntdll!KiFastSystemCallRet
...[중간 생략]...
0026fa28 00000000 0034271e 7ffd3000 00000000 ntdll!_RtlUserThreadStart+0x23
Tue Feb 27 23:25:40.498 2007 (GMT+9): ModLoad: 78130000 781cb000   C:\Windows\WinSxS\x86_microsoft.vc80
....[중간 생략]...
Tue Feb 27 23:25:40.618 2007 (GMT+9): ModLoad: 79060000 790b3000   C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll
Tue Feb 27 23:25:40.668 2007 (GMT+9): (12a8.f40): CLR exception - code e0434f4d (first chance)
Tue Feb 27 23:25:40.683 2007 (GMT+9): (12a8.f40): CLR exception - code e0434f4d (!!! second chance !!!)
eax=0026ed20 ebx=004b5108 ecx=00000001 edx=00000000 esi=0026eda8 edi=e0434f4d
eip=7673b09e esp=0026ed20 ebp=0026ed70 iopl=0         nv up ei pl nz ac po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000212
KERNEL32!RaiseException+0x58:
7673b09e c9              leave

0:000> k
ChildEBP RetAddr  
0026ed70 79f9691a KERNEL32!RaiseException+0x58
0026edd0 7a098e88 mscorwks!RaiseTheExceptionInternalOnly+0x226
0026ee94 003e00a7 mscorwks!JIT_Throw+0xfc
WARNING: Frame IP not in any known module. Following frames may be wrong.
0026eeb0 79e826bd 0x3e00a7
0026ef30 79e8451b mscorwks!CallDescrWorkerWithHandler+0xa3
0026f06c 79e84403 mscorwks!MethodDesc::CallDescr+0x19c
0026f084 79e843e0 mscorwks!MethodDesc::CallTargetWorker+0x20
0026f098 79ef3e20 mscorwks!MethodDescCallSite::CallWithValueTypes+0x18
0026f1fc 79ef3c19 mscorwks!ClassLoader::RunMain+0x220
0026f464 79ef3aee mscorwks!Assembly::ExecuteMainMethod+0xa6
0026f934 79ef3737 mscorwks!SystemDomain::ExecuteMainMethod+0x398
0026f984 79ef18d1 mscorwks!ExecuteEXE+0x59
0026f9cc 79003aa0 mscorwks!_CorExeMain+0x11b
0026f9dc 76763833 mscoree!_CorExeMain+0x2c
0026f9e8 77c7a9bd KERNEL32!BaseThreadInitThunk+0xe
0026fa28 00000000 ntdll!_RtlUserThreadStart+0x23

대강 봐도, "mscorwks!ClassLoader::RunMain"이 Main 메서드를 실행해 주는 함수라는 것을 쉽게 짐작할 수 있습니다.

이제, mscorwks.dll 로드를 굳이 명시적으로 확인할 필요없이 다음과 같이 직접 unmanaged API 함수에 BP를 걸어 놓는 것으로 문제를 해결할 수 있습니다.

0:000> bp mscorwks!ClassLoader::RunMain
Bp expression 'mscorwks!ClassLoader::RunMain' could not be resolved, adding deferred bp

현재는 mscorwks모듈이 로드되어 있지 않기 때문에 RunMain기호를 찾을 수 없지만, 이후에 혹시나 발견이 되면 설정해 주겠다고 친절하게(?) 메시지를 보여주고 있습니다. 이제 거의 다 되었습니다. "g" 명령어로 실행시키면 다음과 같이 RunMain 함수에서 실행이 멈추는 것을 확인할 수 있습니다.

0:000> g
Tue Feb 27 23:36:53.110 2007 (GMT+9): ModLoad: 77b80000 77c3f000   C:\Windows\system32\ADVAPI32.dll
....[중간 생략]...
Tue Feb 27 23:36:55.763 2007 (GMT+9): ModLoad: 79e70000 7a3d6000   C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
ChildEBP RetAddr  Args to Child              
0030ef14 77c9fb70 77c6e334 00000054 ffffffff ntdll!KiFastSystemCallRet
....[중간 생략]...
mscorlib\7fe79782947b85d961fd55cb5e02a129\mscorlib.ni.dll
Tue Feb 27 23:37:01.632 2007 (GMT+9): Breakpoint 0 hit
eax=0030f584 ebx=00000000 ecx=1e3ea55d edx=80000001 esi=007c3000 edi=00000000
eip=79ef3c78 esp=0030f54c ebp=0030f59c iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000206
mscorwks!ClassLoader::RunMain:
79ef3c78 55              push    ebp

5. Main 함수에 BP 설정
자, 다 되었습니다. 이제 sos.dll에서 제공되는 확장 명령어를 이용해서 Managed 함수에 쉽게 BP를 설정할 수 있습니다. 여기서는 Main 함수가 목표였기 때문에 다음과 같이 설정하시면 됩니다.

0:000> !bpmd ConsoleApplication1 ConsoleApplication1.Program.Main
Found 1 methods...
MethodDesc = 007c3000
Adding pending breakpoints...

0:000> g
Tue Feb 27 23:42:31.292 2007 (GMT+9): ModLoad: 79060000 790b3000   C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll
Tue Feb 27 23:42:31.313 2007 (GMT+9): (f68.16c0): CLR notification exception - code e0444143 (first chance)
JITTED ConsoleApplication1!ConsoleApplication1.Program.Main()
Setting breakpoint: bp 00D30070 [ConsoleApplication1.Program.Main()]
Tue Feb 27 23:42:31.413 2007 (GMT+9): Breakpoint 1 hit
eax=007c3000 ebx=0030f21c ecx=ffffffff edx=ffffffff esi=00135108 edi=00000000
eip=00d30070 esp=0030f1f4 ebp=0030f200 iopl=0         nv up ei pl nz ac pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000216
00d30070 83ec08          sub     esp,8

어떠세요? 재미있지요? ^^

[첨부된 파일은 실제로 위의 실습을 한 WinDBG.exe 실행 화면의 텍스트를 캡쳐한 것입니다.]

[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

(시리즈 글이 9개 있습니다.)

디버깅 기술: 11. (Managed) Main Method에 Break Point 걸기
; https://www.sysnet.pe.kr/2/0/469

디버깅 기술: 11.1. (Managed) Main Method에 Break Point 걸기 - 내용 보강
; https://www.sysnet.pe.kr/2/0/470

디버깅 기술: 35. windbg - 분석 예: 시작하자마자 비정상 종료하는 프로세스 - NullReferenceException
; https://www.sysnet.pe.kr/2/0/996

디버깅 기술: 37. .NET 4.0 응용 프로그램의 Main 함수에 BreakPoint 걸기
; https://www.sysnet.pe.kr/2/0/1021

디버깅 기술: 59. NT 서비스가 시작하자마자 디버거를 연결시키는 방법 (1)
; https://www.sysnet.pe.kr/2/0/1586

디버깅 기술: 60. NT 서비스가 시작하자마자 디버거를 연결시키는 방법 (2)
; https://www.sysnet.pe.kr/2/0/1587

디버깅 기술: 61. NT 서비스 시작 단계에서 닷넷 메서드에 BP를 걸어 디버깅하는 방법
; https://www.sysnet.pe.kr/2/0/1598

디버깅 기술: 100. windbg - .NET 4.0 응용 프로그램의 Main 메서드에 Breakpoint 걸기
; https://www.sysnet.pe.kr/2/0/11322

디버깅 기술: 125. WinDbg로 EXE의 EntryPoint에서 BP 거는 방법
; https://www.sysnet.pe.kr/2/0/11859

"(Managed) Main Method에 Break Point 걸기"에서 적힌 내용의 오류 및 추가 내용을 적어 보겠습니다. 내용 자체도 약간 수정되었지만, 그것도 다소 유용할 듯 싶어서 그냥 따로 분리해서 이렇게 써봅니다.

우선, 제가 이전의 토픽에서 결정적인 실수를 한 것이 있다면, "Workspace" 관련 설정으로 인해 이전에 설정해 둔 값들에 영향을 받아서 sxe 기능이 정상적으로 수행되지 않았던 것이었습니다. "File" / "Delete Workspaces..." 메뉴로 모든 설정을 지운 다음에 다시 했더니 정상적으로 동작을 했습니다. 하나씩 짚어볼까요? ^^

1. "sxe clrn"의 기능
일단, "NTSD and SOS basics" 글을 제외하고는 제대로 된 문서조차도 찾을 수 없습니다. 사실 그 문서의 내용을 가지고 지레짐작했었는데, 지금은 도대체 어떤 기능을 하는 것인지 모르는 상황까지 왔습니다. 혹시 아시는 분 있으시면 ^^ 조언 좀 부탁드리겠습니다.

2. 상이한 WinDbg 동작
이 부분에서 상당히 혼동스럽더군요. "Delete Workspaces..."로 초기화 된 상태에서 진행해도 컴퓨터마다 차이가 났습니다. 예를 들어, 처음 "Open Executable..." 메뉴로 exe 프로세스를 로드하는 경우에, Windows 2003의 경우에는 x86/x64 상관없이 처음 "first chance exception"이 발생할 때 프로그램 실행이 멈춘 반면, Vista에서는 "ntdll!RtlUserThreadStart"에서 멈추었습니다. 즉, 이런 점들을 감안하시고, 제가 보여드리는 예를 여러분들의 환경에서 꼭 동일하게 나와야 한다고 기준을 잡으시면 안 될 것 같습니다. 그리고, 어쩌면 같은 Vista 버전임에도 불구하고 동작 화면이 다소 다를 수도 있을 테니. (참고로, 기본적으로는 Vista x86에서의 테스트 화면을 보여드릴 것입니다.)

아마도 이 부분은 "Event Filters" 설정에 따라서 다른 것 같은데,,, ^^; 왜 동일한 setup 파일로 설치하는 데 컴퓨터마다 다른 지에 대해서는 이해할 수가 없습니다. 어쨌든, 아래는 실제로 처음 로드 이후의 화면을 테스트 해본 것입니다.

====== Windows 2003 SP1 for x86

CommandLine: C:\temp\DumpTest\ConsoleApplication1\bin\Debug\ConsoleApplication1.exe
Symbol search path is: SRV*c:\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;SRV*c:\Symbol\ProductSymbols;c:\Windows\system32;.
Executable search path is: 
ModLoad: 00400000 00408000   ConsoleApplication1.exe
ModLoad: 7c940000 7ca19000   ntdll.dll
ModLoad: 79000000 79045000   C:\WINDOWS\system32\mscoree.dll
ModLoad: 7c800000 7c93e000   C:\WINDOWS\system32\KERNEL32.dll
(ab4.14c): Break instruction exception - code 80000003 (first chance)
eax=7ca00000 ebx=7ffde000 ecx=00000001 edx=00000002 esi=7c9c9e14 edi=00141f38
eip=7c962583 esp=0012fb70 ebp=0012fcb4 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202
ntdll!DbgBreakPoint:
7c962583 cc              int     3


====== Windows 2003 SP1 for x64

CommandLine: C:\temp\DumpTest\ConsoleApplication1\bin\Debug\ConsoleApplication1.exe
Symbol search path is: SRV*\\localhost\d$\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;SRV*\\localhost\d$\Symbol\ProductSymbols;d:\Windows\system32;.
Executable search path is: 
ModLoad: 00000000`00400000 00000000`00408000   ConsoleApplication1.exe
ModLoad: 00000000`78ec0000 00000000`78ff9000   ntdll.dll
ModLoad: 00000642`7ee60000 00000642`7eed4000   D:\WINDOWS\system32\mscoree.dll
ModLoad: 00000000`77d40000 00000000`77eb3000   D:\WINDOWS\system32\KERNEL32.dll
(5e18.5928): Break instruction exception - code 80000003 (first chance)
ntdll!DbgBreakPoint:
00000000`78ef3320 cc              int     3


====== Windows Vista 영문 버전 for x86

CommandLine: D:\temp\DumpTest\ConsoleApplication1\bin\Debug\ConsoleApplication1.exe
Symbol search path is: SRV*\\localhost\d$\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;SRV*\\localhost\d$\Symbol\ProductSymbols;C:\Windows\system32;.
Executable search path is: 
ModLoad: 00920000 00928000   ConsoleApplication1.exe
ModLoad: 77c40000 77d5e000   ntdll.dll
eax=009226fe ebx=7ffd5000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=77ca0f18 esp=001efdb8 ebp=00000000 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000200
ntdll!RtlUserThreadStart:
77ca0f18 89442404        mov     dword ptr [esp+4],eax ss:0023:001efdbc=00000000

3. "g" 명령
(Vista 버전에서는) 기본적으로, 처음 실행 파일을 지정하고 나서 멈춘 이후부터는 "g" 명령 한번에 "DLL" 로드 하나가 이뤄집니다. 아래는 처음 "ConsoleApplication1.exe"를 로드한 이후 "g" 명령을 실행한 것을 보여주고 있습니다. 최초 실행 파일(ConsoleApplication1.exe)이 올라온 후, 그 뒤를 이어 바로 CLR Startup Shim 모듈(mscoree.dll)이 올라오는 것을 확인할 수 있습니다.

Microsoft (R) Windows Debugger  Version 6.6.0007.5
Copyright (c) Microsoft Corporation. All rights reserved.

CommandLine: D:\temp\DumpTest\ConsoleApplication1\bin\Debug\ConsoleApplication1.exe
Symbol search path is: SRV*\\localhost\d$\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;SRV*\\localhost\d$\Symbol\ProductSymbols;C:\Windows\system32;.
Executable search path is: 
ModLoad: 01360000 01368000   ConsoleApplication1.exe
ModLoad: 77c40000 77d5e000   ntdll.dll
eax=013626fe ebx=7ffde000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=77ca0f18 esp=0028fa50 ebp=00000000 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000200
ntdll!RtlUserThreadStart:
77ca0f18 89442404        mov     dword ptr [esp+4],eax ss:0023:0028fa54=00000000
0:000> g
ModLoad: 79000000 79045000   C:\Windows\system32\mscoree.dll
eax=77c886c2 ebx=00000000 ecx=0028eae0 edx=000000ac esi=7ffdf000 edi=20000000
eip=77ca0f34 esp=0028edf0 ebp=0028ee34 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!KiFastSystemCallRet:
77ca0f34 c3              ret
0:000> g
ModLoad: 76720000 767f8000   C:\Windows\system32\KERNEL32.dll
eax=0028ec04 ebx=00000000 ecx=0000000c edx=0028ec58 esi=7ffdf000 edi=20000000
eip=77ca0f34 esp=0028ead8 ebp=0028eb1c iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!KiFastSystemCallRet:
77ca0f34 c3              ret

4. Vista, x64에서는 "sxe ld mscorwks"가 안된다?
이전 토픽에서 그렇게 말씀드렸는데, "Delete Workspaces"로 환경 초기화 후에는 잘 되는 것을 확인했습니다.

5. sos.dll 로드 방법
이전 토픽에서, sos.dll 로드하는 방법을 설명드리지 않았지만, 예전에 소개해 드린 "WinDBG를 이용한 미니덤프 파일 분석"에서 약간 자세하게 써놓았습니다.

그때와 비교해서 "6.6.7.5" 버전에서는 기본적으로 sos.dll이 로드되어 있어서 별로 신경 쓸 것이 없는데, 이것도 환경에 따라 로드되어 있지 않은 경우가 있습니다. 따라서, 이런 경우에는 다음과 같은 명령을 통해서 현재 로드된 "mscorwks.dll" 버전에 따라서 그에 적합한 sos.dll 버전을 로드할 수 있습니다.

.loadby sos mscorwks

".loadby"는 현재 프로세스에 "mscorwks.dll"이 로드된 이후에나 가능하다는 차이가 있습니다. (물론, ".load sos"라고 하면 "mscorwks.dll" 로드 여부에 상관없이 sos 확장 DLL을 로드하는 것이 가능합니다.)

6. Main 함수에 BP 설정
Main 함수에 BP를 거는 것에 대해 다시 명령어 정리를 해보겠습니다. (가능한 환경을 동일하게 설정하기 위해 "File" / "Delete Workspaces..." 명령어로 환경을 초기화했다고 가정합니다.)

"windbg.exe ConsoleApplication1.exe" 명령 실행
"bp mscorwks!ClassLoader::RunMain" 실행
"mscorwks!ClassLoader::RunMain"까지 "g" 명령을 통해서 실행
"bc *"로 현재 걸린 BP를 모두 삭제
"!bpmd ConsoleApplication1 ConsoleApplication1.Program.Main"으로 새로운 BP 설정
"g" 명령어로 실행하면, "ConsoleApplication1!ConsoleApplication1.Program.Main"에서 실행 중지.

혹시, 위의 "c" 단계에서 "g" 명령을 실행 했는데도, "mscorwks!ClassLoader::RunMain"에서 중지가 안 되고, 새로운 DLL들이 로드될 때마다 실행이 중지되는 수도 있을 텐데요. 그런 분들은 "Debug" / "Event Filters..." 메뉴로 가서, "Load module" 항목을 "output" - "not handled"로 수정해 주시면 DLL 로드 때마다 실행이 중지되는 경우가 없어지게 되니 참고하십시오.

최종 실습 결과를 아래에 실었으니 참고하십시오.

Microsoft (R) Windows Debugger  Version 6.6.0007.5
Copyright (c) Microsoft Corporation. All rights reserved.

CommandLine: D:\temp\DumpTest\ConsoleApplication1\bin\Debug\ConsoleApplication1.exe
Symbol search path is: SRV*\\localhost\d$\Symbol\OSSymbols*http://msdl.microsoft.com/download/symbols;SRV*\\localhost\d$\Symbol\ProductSymbols;C:\Windows\system32;.
Executable search path is: 
ModLoad: 00920000 00928000   ConsoleApplication1.exe
ModLoad: 77c40000 77d5e000   ntdll.dll
eax=009226fe ebx=7ffd6000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=77ca0f18 esp=002cf990 ebp=00000000 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000200
ntdll!RtlUserThreadStart:
77ca0f18 89442404        mov     dword ptr [esp+4],eax ss:0023:002cf994=00000000
0:000> bp mscorwks!ClassLoader::RunMain
Bp expression 'mscorwks!ClassLoader::RunMain' could not be resolved, adding deferred bp
0:000> g
ModLoad: 79000000 79045000   C:\Windows\system32\mscoree.dll
eax=77c886c2 ebx=00000000 ecx=002cea20 edx=000000ac esi=7ffdf000 edi=20000000
eip=77ca0f34 esp=002ced30 ebp=002ced74 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!KiFastSystemCallRet:
77ca0f34 c3              ret
0:000> g 
ModLoad: 76720000 767f8000   C:\Windows\system32\KERNEL32.dll
(112c.169c): Break instruction exception - code 80000003 (first chance)
eax=00000000 ebx=00000000 ecx=002cf4a0 edx=77ca0f34 esi=fffffffe edi=77d05d14
eip=77c82ea8 esp=002cf4b8 ebp=002cf4e8 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!DbgBreakPoint: // 여기에서 "kernel32.dll"을 로드하고 멈춰서, "Load module" 항목을 "output" - "not handled" 으로 수정.
77c82ea8 cc              int     3
0:000> g // 이제는 "mscorwks!ClassLoader::RunMain" 까지 진행
ModLoad: 77b80000 77c3f000   C:\Windows\system32\ADVAPI32.dll
...[중간 생략]...
ModLoad: 790c0000 79bde000   C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7fe79782947b85d961fd55cb5e02a129\mscorlib.ni.dll
Breakpoint 0 hit
eax=002cf19c ebx=00000000 ecx=f350130c edx=80000001 esi=00192fe8 edi=00000000
eip=79ef3c78 esp=002cf164 ebp=002cf1b4 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000206
mscorwks!ClassLoader::RunMain:
79ef3c78 55              push    ebp
0:000> !bpmd ConsoleApplication1 ConsoleApplication1.Program.Main
Found 1 methods...
MethodDesc = 00192fe8
Adding pending breakpoints...
0:000> g
ModLoad: 79060000 790b3000   C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorjit.dll
ModLoad: 73cb0000 73cb8000   ClassLibrary1.dll
ModLoad: 00aa0000 00aa8000   ClassLibrary1.dll
ModLoad: 73cb0000 73cb8000   D:\temp\DumpTest\ConsoleApplication1\bin\Debug\ClassLibrary1.dll
(112c.169c): CLR notification exception - code e0444143 (first chance)
JITTED ConsoleApplication1!ConsoleApplication1.Program.Main()
Setting breakpoint: bp 00AC0070 [ConsoleApplication1.Program.Main()]
Breakpoint 1 hit
eax=00192fe8 ebx=002cee2c ecx=00000003 edx=00000000 esi=004e5108 edi=00000000
eip=00ac0070 esp=002cee04 ebp=002cee10 iopl=0         nv up ei pl nz ac pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000216
00ac0070 57              push    edi

[이 토픽에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[다음 글] 디버깅 기술: 11. (Managed) Main Method에 Break Point 걸기
[이전 글] COM 개체 관련: 20. 탭 브라우저의 윈도우 핸들 구하기

[최초 등록일: 3/1/2007]
[최종 수정일: 9/28/2024]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
1530	정성태	11/5/2013	27459	기타: 38. 오픈소스로 풀린 하드 디스크 관리 도구 - WindowSMART
1529	정성태	11/5/2013	23349	오류 유형: 192. SQL 서버 - The transaction log for database '...' is full due to 'LOG_BACKUP'.
1528	정성태	11/5/2013	28943	디버깅 기술: 58. windbg 분석 사례 - WPF 응용 프로그램의 UI가 반응하지 않는 문제 [5]
1527	정성태	11/4/2013	26557	VC++: 72. error MIDL2311 - mktyplib compatability mode 컴파일 오류
1526	정성태	11/3/2013	23263	디버깅 기술: 57. C# - double 값에 대한 windbg 확인
1525	정성태	11/2/2013	29658	.NET Framework: 391. C# - EXE/DLL로부터 추출한 이미지/아이콘의 배경색 투명 처리 [8]
1524	정성태	11/2/2013	30494	기타: 37. 프로그램에 보여지는 리소스(예: 아이콘) 추출하는 방법 [1]
1523	정성태	11/2/2013	26857	VS.NET IDE: 81. Visual Studio 확장 도구 AttachToW3WP - w3wp.exe에 대한 디버거 연결을 자동화하는 도구 [2]
1522	정성태	11/1/2013	23442	VS.NET IDE: 80. IIS 8.0/8.5 - Global.asax.cs처럼 초기에 실행되는 코드에 Breakpoint를 잡는 방법
1521	정성태	11/1/2013	29304	VS.NET IDE: 79. IIS 7.5 - Global.asax.cs처럼 초기에 실행되는 코드에 Breakpoint를 잡는 방법
1520	정성태	10/31/2013	23713	오류 유형: 191. Visual Studio 2010 - 웹 애플리케이션 생성 시 "The project type is not supported by this installation." 오류 발생 해결
1519	정성태	10/31/2013	49234	기타: 36. SYSTEM 또는 TrustedInstaller 소유로 되어 있는 폴더/파일을 삭제하는 방법 [5]
1518	정성태	10/30/2013	26890	VS.NET IDE: 78. Visual Studio 확장으로 XmlCodeGenerator 제작하는 방법
1517	정성태	10/28/2013	26462	디버깅 기술: 56. 덤프 파일에 핸들/스레드 정보를 포함하는 방법 [1]
1516	정성태	10/28/2013	31791	.NET Framework: 390. FolderBrowserDialog보다 더 쓸만한 대화창이 필요하다면? [1]
1515	정성태	10/24/2013	34467	VS.NET IDE: 77. Visual Studio 확장(VSIX) 만드는 방법 [5]
1514	정성태	10/24/2013	67804	개발 환경 구성: 202. Internet Explorer 11을 7, 8, 9, 10 버전으로 인식시키는 방법 [9]	1
1513	정성태	10/23/2013	24357	개발 환경 구성: 201. Azure Blob Storage의 DNS 경로를 사용자 DNS로 바꾸는 방법 [1]
1512	정성태	10/18/2013	27576	개발 환경 구성: 200. IIS AppPool의 실행 계정을 변경하는 방법
1511	정성태	10/12/2013	25718	.NET Framework: 389. The 3n + 1 problem의 C#/Java 버전 풀이 [2]
1510	정성태	10/8/2013	26615	오류 유형: 190. 윈도우 서버 2012 R2 설치 후 인텔 NIC으로 인한 WMI 오류 발생
1509	정성태	10/8/2013	31791	오류 유형: 189. Windows Server 8.1/2012 R2 - IME 비정상 종료 현상 [1]
1508	정성태	10/4/2013	26864	.NET Framework: 388. 일반 닷넷 프로젝트에서 WinRT API를 호출하는 방법 [2]	1
1507	정성태	9/30/2013	24725	오류 유형: 188. The key 'LocalizedPerfCounter' does not exist in the appSettings configuration section.
1506	정성태	9/30/2013	26903	오류 유형: 187. Parameter "basePath" cannot be a relative path
1505	정성태	9/26/2013	75389	기타: 35. Microsoft Office 2007 인증 생략하는 방법 [10]

AD BLOCK 해제 요청