windbg - .NET 4.0 응용 프로그램의 Main 메서드에 Breakpoint 걸기

지난 글에서 한번 설명했는데,

.NET 4.0 응용 프로그램의 Main 함수에 BreakPoint 걸기
; https://www.sysnet.pe.kr/2/0/1021

약간 바뀌어서 다시 정리합니다. ^^

우선, Main 메서드에서 곧바로 예외를 발생하는 코드를 넣고 windbg에서 살펴보면 다음과 같은 콜 스택을 확인할 수 있습니다.

0:000> k
 # Child-SP          RetAddr           Call Site
00 00000043`079be970 00007fff`225232ea KERNELBASE!RaiseException+0x68
01 00000043`079bea50 00007fff`2252311a clr!RaiseTheExceptionInternalOnly+0x2aa
02 00000043`079beb50 00007ffe`c2db04f9 clr!IL_Throw+0x10b
03 00000043`079bed00 00007fff`223c6793 0x00007ffe`c2db04f9
04 00000043`079beda0 00007fff`223c6665 clr!CallDescrWorkerInternal+0x83
05 00000043`079bede0 00007fff`223c736d clr!CallDescrWorkerWithHandler+0x4e
06 00000043`079bee20 00007fff`224c38b0 clr!MethodDescCallSite::CallTargetWorker+0xf8
07 00000043`079bef20 00007fff`224c40fa clr!RunMain+0x1e7
08 00000043`079bf100 00007fff`224c3fb7 clr!Assembly::ExecuteMainMethod+0xb6
09 00000043`079bf3f0 00007fff`224c394d clr!SystemDomain::ExecuteMainMethod+0x639
0a 00000043`079bfa10 00007fff`224c3732 clr!ExecuteEXE+0x3f
0b 00000043`079bfa80 00007fff`224c46a4 clr!_CorExeMainInternal+0xb2
0c 00000043`079bfb10 00007fff`2449a56d clr!CorExeMain+0x14
0d 00000043`079bfb50 00007fff`25a2a44c mscoreei!CorExeMain+0x112
0e 00000043`079bfbb0 00007fff`33aa2774 MSCOREE!CorExeMain_Exported+0x6c
0f 00000043`079bfbe0 00007fff`34200d51 KERNEL32!BaseThreadInitThunk+0x14
10 00000043`079bfc10 00000000`00000000 ntdll!RtlUserThreadStart+0x21

그렇습니다. clr!RunMain 함수가 대상입니다. ^^

자, 그럼 다시 절차를 만들어 보면, 우선 clr.dll이 올라오는 순간을 잡아내도록 설정하고 진행합니다.

0:000> sxe ld clr.dll

0:000> g
ModLoad: 00007fff`316f0000 00007fff`31791000   C:\WINDOWS\System32\ADVAPI32.dll
ModLoad: 00007fff`335a0000 00007fff`3363d000   C:\WINDOWS\System32\msvcrt.dll
ModLoad: 00007fff`33b60000 00007fff`33bb9000   C:\WINDOWS\System32\sechost.dll
ModLoad: 00007fff`31ff0000 00007fff`32115000   C:\WINDOWS\System32\RPCRT4.dll
ModLoad: 00007fff`24490000 00007fff`2452d000   C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscoreei.dll
ModLoad: 00007fff`33760000 00007fff`337b1000   C:\WINDOWS\System32\SHLWAPI.dll
ModLoad: 00007fff`31a30000 00007fff`31d29000   C:\WINDOWS\System32\combase.dll
ModLoad: 00007fff`30750000 00007fff`30846000   C:\WINDOWS\System32\ucrtbase.dll
ModLoad: 00007fff`31220000 00007fff`3128a000   C:\WINDOWS\System32\bcryptPrimitives.dll
ModLoad: 00007fff`33560000 00007fff`33587000   C:\WINDOWS\System32\GDI32.dll
ModLoad: 00007fff`31460000 00007fff`315e8000   C:\WINDOWS\System32\gdi32full.dll
ModLoad: 00007fff`306b0000 00007fff`3074a000   C:\WINDOWS\System32\msvcp_win.dll
ModLoad: 00007fff`31ea0000 00007fff`31fea000   C:\WINDOWS\System32\USER32.dll
ModLoad: 00007fff`31200000 00007fff`3121e000   C:\WINDOWS\System32\win32u.dll
ModLoad: 00007fff`33a60000 00007fff`33a8d000   C:\WINDOWS\System32\IMM32.DLL
ModLoad: 00007fff`30640000 00007fff`30651000   C:\WINDOWS\System32\kernel.appcore.dll
ModLoad: 00007fff`2a280000 00007fff`2a28a000   C:\WINDOWS\SYSTEM32\VERSION.dll
ModLoad: 00007fff`223c0000 00007fff`22d9f000   C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll
ntdll!NtMapViewOfSection+0x14:
00007fff`342358a4 c3              ret

그럼 위와 같이 clr.dll 로드 시점에 windbg가 대상 프로세스의 실행을 중지합니다. 이제 clr!RunMain 함수에 대해 BP를 걸어주면 됩니다.

0:000> bp clr!RunMain

0:000> bl
     0 e Disable Clear  00007fff`224c5cf0     0001 (0001)  0:**** clr!RunMain

물론 clr.dll이 로드되었으니 .loadby 명령어도 사용할 수 있습니다.

0:000> .loadby sos clr

이후 g로 진행하면 clr!RunMain에서 멈추는 것을 확인할 수 있습니다.

0:000> g
ModLoad: 00007fff`21610000 00007fff`21707000   C:\WINDOWS\SYSTEM32\MSVCR120_CLR0400.dll
(94c4.4370): Unknown exception - code 04242420 (first chance)
ModLoad: 00007fff`34180000 00007fff`34188000   C:\WINDOWS\System32\psapi.dll
ModLoad: 00007ffe`f7d60000 00007ffe`f92de000   C:\WINDOWS\assembly\NativeImages_v4.0.30319_64\mscorlib\9aaf4ea9ded0a99b899b7bf4c971092d\mscorlib.ni.dll
ModLoad: 00007fff`31820000 00007fff`31965000   C:\WINDOWS\System32\ole32.dll
Breakpoint 0 hit
clr!RunMain:
00007fff`224c5cf0 488bc4          mov     rax,rsp

여기까지 왔으면 이제 Main 함수에 sos.dll의 BP 설정 명령어를 사용할 수 있습니다.

0:000> !bpmd SetPEChecksum SetPEChecksum.Program.Main
Found 1 methods in module 00007ffec2cc5108...
MethodDesc = 00007ffec2cc59c0
Adding pending breakpoints...

이후 g를 한 번 눌러주면 끝!

0:000> g
ModLoad: 0000028f`c99e0000 0000028f`c9a0a000   pe.dll  
ModLoad: 0000028f`c9a10000 0000028f`c9a3a000   pe.dll  
ModLoad: 00007fff`300b0000 00007fff`300c7000   C:\WINDOWS\SYSTEM32\CRYPTSP.dll
ModLoad: 00007fff`2fb30000 00007fff`2fb64000   C:\WINDOWS\system32\rsaenh.dll
ModLoad: 00007fff`301c0000 00007fff`301e5000   C:\WINDOWS\SYSTEM32\bcrypt.dll
ModLoad: 00007fff`300d0000 00007fff`300db000   C:\WINDOWS\SYSTEM32\CRYPTBASE.dll
(559c.2bc0): CLR notification exception - code e0444143 (first chance)
JITTED SetPEChecksum!SetPEChecksum.Program.Main(System.String[])
Setting breakpoint: bp 00007FFEC2DD04C1 [SetPEChecksum.Program.Main(System.String[])]
Breakpoint 1 hit
00007ffe`c2dd04c1 90              nop

이후 원하는 데로 t, p 명령어를 이용해 Main 메서드의 코드를 차례대로 실행할 수 있습니다.

검색해 보니 다음과 같은 절차도 있습니다.

Set a Breakpoint in Managed Code (C#) Using WinDBG
; http://kiewic.com/2015-10-11/set-a-breakpoint-in-managed-code-cs-using-windbg

위의 방법에 따라 간단하게 clrjit.dll 로딩 시점을 잡아내고,

0:000> sxe ld clrjit

0:000> g

sos를 로드한 다음 Main 메서드의 MethodDesc를 알아냅니다.

0:000> .loadby sos clr

0:000> !name2ee SetPEChecksum SetPEChecksum.Program.Main
Module:      00007ffec2ca5108
Assembly:    SetPEChecksum.exe
Token:       0000000006000001
MethodDesc:  00007ffec2ca59c0
Name:        SetPEChecksum.Program.Main(System.String[])
Not JITTED yet. Use !bpmd -md 00007ffec2ca59c0 to break on run.

보는 바와 같이 name2ee의 출력에는 !bpmd를 사용하려면 -md(MethodDesc) 옵션을 이용하라고도 해줍니다. ^^ 그대로 해주고, g를 하면 끝!

0:000> !bpmd -md 00007ffec2ca59c0
MethodDesc = 00007ffec2ca59c0
Adding pending breakpoints...

0:000> g
ModLoad: 0000012f`d6b80000 0000012f`d6baa000   pe.dll  
ModLoad: 0000012f`d6be0000 0000012f`d6c0a000   pe.dll  
ModLoad: 00007fff`300b0000 00007fff`300c7000   C:\WINDOWS\SYSTEM32\CRYPTSP.dll
ModLoad: 00007fff`2fb30000 00007fff`2fb64000   C:\WINDOWS\system32\rsaenh.dll
ModLoad: 00007fff`301c0000 00007fff`301e5000   C:\WINDOWS\SYSTEM32\bcrypt.dll
ModLoad: 00007fff`300d0000 00007fff`300db000   C:\WINDOWS\SYSTEM32\CRYPTBASE.dll
(616c.8a5c): CLR notification exception - code e0444143 (first chance)
JITTED SetPEChecksum!SetPEChecksum.Program.Main(System.String[])
Setting breakpoint: bp 00007FFEC2DB04C1 [SetPEChecksum.Program.Main(System.String[])]
Breakpoint 0 hit
00007ffe`c2db04c1 90              nop

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[다음 글] 디버깅 기술: 101. windbg - "*** WARNING: Unable to verify checksum for" 경고 없애는 방법
[이전 글] .NET Framework: 688. NGen 모듈과 .NET Profiler

[최초 등록일: 10/13/2017]
[최종 수정일: 10/18/2017]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
12677	정성태	6/17/2021	9567	VC++: 144. 역공학을 통한 lxssmanager.dll의 ILxssSession 사용법 분석	1
12676	정성태	6/16/2021	9630	VC++: 143. ionescu007/lxss github repo에 공개된 lxssmanager.dll의 CLSID_LxssUserSession/IID_ILxssSession 사용법	1
12675	정성태	6/16/2021	7641	Java: 20. maven package 명령어 결과물로 (war가 아닌) jar 생성 방법
12674	정성태	6/15/2021	8413	VC++: 142. DEFINE_GUID 사용법
12673	정성태	6/15/2021	9585	Java: 19. IntelliJ - 자바(Java)로 만드는 Web App을 Tomcat에서 실행하는 방법
12672	정성태	6/15/2021	10704	오류 유형: 725. IntelliJ에서 Java webapp 실행 시 "Address localhost:1099 is already in use" 오류
12671	정성태	6/15/2021	17430	오류 유형: 724. Tomcat 실행 시 Failed to initialize connector [Connector[HTTP/1.1-8080]] 오류
12670	정성태	6/13/2021	8963	.NET Framework: 1071. DLL Surrogate를 이용한 Out-of-process COM 개체에서의 CoInitializeSecurity 문제	1
12669	정성태	6/11/2021	8924	.NET Framework: 1070. 사용자 정의 GetHashCode 메서드 구현은 C# 9.0의 record 또는 리팩터링에 맡기세요.
12668	정성태	6/11/2021	10688	.NET Framework: 1069. C# - DLL Surrogate를 이용한 Out-of-process COM 개체 제작	2
12667	정성태	6/10/2021	9292	.NET Framework: 1068. COM+ 서버 응용 프로그램을 이용해 CoInitializeSecurity 제약 해결	1
12666	정성태	6/10/2021	7930	.NET Framework: 1067. 별도 DLL에 포함된 타입을 STAThread Main 메서드에서 사용하는 경우 CoInitializeSecurity 자동 호출	1
12665	정성태	6/9/2021	9256	.NET Framework: 1066. Wslhub.Sdk 사용으로 알아보는 CoInitializeSecurity 사용 제약	1
12664	정성태	6/9/2021	7542	오류 유형: 723. COM+ PIA 참조 시 "This operation failed because the QueryInterface call on the COM component" 오류
12663	정성태	6/9/2021	9033	.NET Framework: 1065. Windows Forms - 속성 창의 디자인 설정 지원: 문자열 목록 내에서 항목을 선택하는 TypeConverter 제작	1
12662	정성태	6/8/2021	8213	.NET Framework: 1064. C# COM 개체를 PIA(Primary Interop Assembly)로써 "Embed Interop Types" 참조하는 방법	1
12661	정성태	6/4/2021	18825	.NET Framework: 1063. C# - MQTT를 이용한 클라이언트/서버(Broker) 통신 예제 [4]	1
12660	정성태	6/3/2021	9926	.NET Framework: 1062. Windows Forms - 폼 내에서 발생하는 마우스 이벤트를 자식 컨트롤 영역에 상관없이 수신하는 방법 [1]	1
12659	정성태	6/2/2021	11209	Linux: 40. 우분투 설치 후 MBR 디스크 드라이브 여유 공간이 인식되지 않은 경우 - Logical Volume Management
12658	정성태	6/2/2021	8640	Windows: 194. Microsoft Store에 있는 구글의 공식 Youtube App
12657	정성태	6/2/2021	9920	Windows: 193. 윈도우 패키지 관리자 - winget 설치
12656	정성태	6/1/2021	8147	.NET Framework: 1061. 서버 유형의 COM+에 적용할 수 없는 Server GC
12655	정성태	6/1/2021	7687	오류 유형: 722. windbg/sos - savemodule - Fail to read memory
12654	정성태	5/31/2021	7715	오류 유형: 721. Hyper-V - Saved 상태의 VM을 시작 시 오류 발생
12653	정성태	5/31/2021	10347	.NET Framework: 1060. 닷넷 GC에 새롭게 구현되는 DPAD(Dynamic Promotion And Demotion for GC)
12652	정성태	5/31/2021	8472	VS.NET IDE: 164. Visual Studio - Web Deploy로 Publish 시 암호창이 매번 뜨는 문제

AD BLOCK 해제 요청

windbg - .NET 4.0 응용 프로그램의 Main 메서드에 Breakpoint 걸기