windbg - "*** WARNING: Unable to verify checksum for" 경고 없애는 방법
.NET EXE/DLL을 windbg에서 디버깅하는 경우 pdb 정보가 요구되는 명령어의 출력에 꼭 다음과 같은 경고가 나옵니다.
0:000> !clrstack
OS Thread Id: 0x2bc0 (0)
Child SP IP Call Site
000000a3674fed20 00007ffec2dd04c1 *** WARNING: Unable to verify checksum for ConsoleApp1.exe
ConsoleApp1.Program.Main(System.String[]) [E:\ConsoleApp1\Program.cs @ 15]
000000a3674ff0a0 00007fff223c6793 [GCFrame: 000000a3674ff0a0]
물론 symbol 로딩 명령어에도 나옵니다.
0:000> .reload -f
.*** WARNING: Unable to verify checksum for ConsoleApp1.exe
..........................
Loading unloaded module list
이게 나오는 원인은 PE header의 checksum 데이터가 없기 때문입니다. 이는 windbg에서 !dh 명령어로 확인할 수 있습니다.
0:000> !dh ConsoleApp1
File Type: EXECUTABLE IMAGE
FILE HEADER VALUES
14C machine (i386)
3 number of sections
59DF6494 time date stamp Thu Oct 12 05:48:20 2017
0 file pointer to symbol table
0 number of symbols
F0 size of optional header
22 characteristics
Executable
App can handle >2gb addresses
OPTIONAL HEADER VALUES
20B magic #
48.00 linker version
C00 size of code
800 size of initialized data
0 size of uninitialized data
2B36 address of entry point
2000 base of code
----- new -----
0000000000400000 image base
2000 section alignment
200 file alignment
3 subsystem (Windows CUI)
4.00 operating system version
0.00 image version
6.00 subsystem version
8000 size of image
200 size of headers
0 checksum
0000000000100000 size of stack reserve
0000000000001000 size of stack commit
0000000000100000 size of heap reserve
...[이하 생략]...
보는 바와 같이 "0 checksum"으로 값이 0입니다.
.NET의 경우 checksum 데이터를 Debug/Release 버전에 상관없이 생성하지 않으므로 저 경고는 언제나 발생할 수밖에 없습니다. 대신 위안이 되는 것은, 경고 외에는 windbg의 닷넷 어셈블리 분석에 아무런 영향도 미치지 않기 때문에 무시하면 그만이라는 점입니다. (심지어 !clrstack 명령어는 두 번째 실행부터는 해당 경고를 출력하지 않습니다. 정말... 이 경고는 아주 경미하게 거슬리는 정도입니다.)
혹시나 결벽증이 있는 분을 위해... 더 말씀드리면, checksum 데이터가 다행히 계산 방법이 공개되어 있어 원한다면 설정해 버리면 됩니다. 이에 대해서는 다음의 글에 자세히 나옵니다.
An Analysis of the Windows PE Checksum Algorithm
; https://www.codeproject.com/Articles/19326/An-Analysis-of-the-Windows-PE-Checksum-Algorithm
게다가 위의 글에 보면 PEChecksum.exe라는 도구를 공개해 직접 계산된 값을 설정할 수 있습니다. 그렇다면 C#으로도 한번 만들어 볼까요? ^^ 다행히 코드도 다음의 링크에서 쉽게 구했습니다.
portable-executable-library/pe_lib/pe_checksum.cpp
; https://github.com/mrexodia/portable-executable-library/blob/master/pe_lib/pe_checksum.cpp#L43
이와 함께
지난번에 다뤘던 Workshell.PE 라이브러리를 NuGet으로부터 받아,
Install-Package Workshell.PE -Version 1.7.0
다음과 같이 간단하게 만들어 줄 수 있습니다.
// https://github.com/stjeong/SetPEChecksum
using System;
using System.IO;
using Workshell.PE;
namespace SetPEChecksum
{
class Program
{
// https://github.com/mrexodia/portable-executable-library/blob/master/pe_lib/pe_checksum.cpp#L43
static int Main(string[] args)
{
if (args.Length != 1 && args.Length != 2)
{
Console.WriteLine("[options] file_path");
Console.WriteLine("/s - calc & set checksum");
return 1;
}
bool setNewChecksum = false;
string filePath = null;
if (args[0] == "/s" || args[0] == "-s")
{
setNewChecksum = true;
filePath = args[1];
}
else
{
filePath = args[0];
}
uint currentCheckSum = 0;
uint newCheckSum = 0;
uint checkSumPos = 0;
using (Workshell.PE.ExecutableImage pe = Workshell.PE.ExecutableImage.FromFile(filePath))
{
currentCheckSum = pe.NTHeaders.OptionalHeader.CheckSum;
Console.WriteLine($"Current Checksum: {currentCheckSum}(0x{currentCheckSum.ToString("x")})");
newCheckSum = CalcChecksum(pe, out checkSumPos);
Console.WriteLine($"New Checksum: {newCheckSum}(0x{newCheckSum.ToString("x")})");
}
if (setNewChecksum == true && (currentCheckSum != newCheckSum))
{
byte[] contents = File.ReadAllBytes(filePath);
byte[] newCheckSumBuffer = BitConverter.GetBytes(newCheckSum);
Array.Copy(newCheckSumBuffer, 0, contents, checkSumPos, 4);
try
{
File.WriteAllBytes(filePath, contents);
}
catch (System.IO.IOException)
{
string newFilePath = filePath + ".new";
Console.WriteLine($"New file({newFilePath}) created because it is being used by another process.");
File.WriteAllBytes(newFilePath, contents);
}
}
return 0;
}
private static uint CalcChecksum(ExecutableImage pe, out uint checkSumPos)
{
const uint checksum_pos_in_optional_headers = 64;
checkSumPos = (uint)pe.NTHeaders.OptionalHeader.Location.FileOffset + checksum_pos_in_optional_headers;
uint fileSize = (uint)pe.GetBytes().Length;
MemoryStream ms = new MemoryStream(pe.GetBytes());
byte[] bytes4 = new byte[4];
int pos = 0;
ulong calcSum = 0;
ulong top = (ulong)0xFFFFFFFF + 1;
while (ms.Read(bytes4, pos, 4) == 4)
{
uint dw = BitConverter.ToUInt32(bytes4, 0);
if (ms.Position == checkSumPos + 4)
{
continue;
}
calcSum = (calcSum & 0xFFFFFFFF) + dw + (calcSum >> 32);
if (calcSum > top)
{
calcSum = (calcSum & 0xFFFFFFFF) + (calcSum >> 32);
}
}
calcSum = (calcSum & 0xffff) + (calcSum >> 16);
calcSum = (calcSum) + (calcSum >> 16);
calcSum = calcSum & 0xffff;
calcSum += (uint)fileSize;
return (uint)calcSum;
}
}
}
가장 쉬운 사용법은, 빌드한 SetPEChecksum을 여러분들의 프로젝트 설정의 "Build Events" / "Post-build event command line"에 다음과 같이 등록하는 것입니다.
...[path]...\SetPEChecksum.exe /s "$(TargetPath)"
그럼 빌드할 때마다 출력 창에 다음과 같은 메시지를 볼 수 있습니다.
2> Current Checksum: 0(0x0)
2> New Checksum: 19088(0x4a90)
이렇게 checksum 파일이 설정된 모듈을 windbg에서 사용하게 되면, 다음과 같이 아주 깔끔한 출력 결과를 볼 수 있습니다.
0:000> !clrstack
OS Thread Id: 0x4370 (0)
Child SP IP Call Site
0000003e4f0fea30 00007ffec2dc04c1 SetPEChecksum.Program.Main(System.String[]) [E:\ConsoleApp1\Program.cs @ 15]
0000003e4f0fedb0 00007fff223c6793 [GCFrame: 0000003e4f0fedb0]
(
이 글의 전체 코드는 github에 실려 있습니다.)
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]