Windows: 63. 윈도우 서버 2012 - Hyper-V의 새로운 기능 Live Migration
; https://www.sysnet.pe.kr/2/0/1356

개발 환경 구성: 211. Hyper-V - Generation 2 유형의 VM 생성 시 ISO 부팅이 안된다면?
; https://www.sysnet.pe.kr/2/0/1603

개발 환경 구성: 236. Hyper-V에 설치한 리눅스 VM의 VHD 크기 늘리는 방법
; https://www.sysnet.pe.kr/2/0/1742

개발 환경 구성: 317. Hyper-V 내의 VM에서 다시 Hyper-V를 설치: Nested Virtualization
; https://www.sysnet.pe.kr/2/0/11218

개발 환경 구성: 405. Hyper-V 가상 머신에서 직렬 포트(Serial Port, COM Port) 사용
; https://www.sysnet.pe.kr/2/0/11720

.NET Framework: 798. C# - Hyper-V 가상 머신의 직렬 포트와 연결된 Named Pipe 간의 통신
; https://www.sysnet.pe.kr/2/0/11722

디버깅 기술: 169. Hyper-V의 VM에 대한 메모리 덤프를 뜨는 방법
; https://www.sysnet.pe.kr/2/0/12284

개발 환경 구성: 608. Hyper-V 가상 머신에 Console 모드로 로그인하는 방법
; https://www.sysnet.pe.kr/2/0/12859

개발 환경 구성: 664. Hyper-V에 설치한 리눅스 VM의 VHD 크기 늘리는 방법 - 두 번째 이야기
; https://www.sysnet.pe.kr/2/0/13246

Windows: 259. Hyper-V Generation 1 유형의 VM을 Generation 2 유형으로 바꾸는 방법
; https://www.sysnet.pe.kr/2/0/13564

Hyper-V의 VM에 대한 메모리 덤프를 뜨는 방법

아래의 글을 읽어 보면,

윈도우즈 룻킷 - 윈도우즈 디펜더 무력화
; https://learn.darungrim.com/contents/windows10-rootkits-disabling-windows-defender.html

VMWare의 VM에 대한 메모리 덤프를 Vmss2core라는 도구를 이용해 뜨는 방법이 나옵니다. 왠지 Hyper-V도 제공할 거라는 ^^ 추측으로 검색해 보니 다음의 글이 나옵니다.

Collect Memory dump from virtual machine hosted in Hyper-V
; https://knowledge.broadcom.com/external/article/184806/collect-memory-dump-from-virtual-machine.html

Use LiveKD to get dump out of VM
; https://windowsprivatecloud.wordpress.com/about/use-livekd-to-get-dump-out-of-vm/

즉, 다음과 같은 형식으로 livekd를 이용해 VM의 덤프를 뜰 수 있는 것인데,

livekd -hv <vmname> -p -o C:\Memory.dmp

예를 들어, 이름이 windows2019인 VM의 덤프를 뜨려면 다음과 같이 실행하면 됩니다.

C:\WINDOWS\system32> livekd -hv windows2019 -p -o c:\temp\memory.dmp

LiveKd v5.63 - Execute kd/windbg on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2020 Mark Russinovich and Ken Johnson

Unexpected failure from VidGetPartitionIds.
Writing c:\temp\memory.dmp: 02%

그럼, 해당 VM은 VM paused 상태로 바뀌고, (제 테스트 환경이 좀 느리긴 하지만) 무려 33분 정도가 걸려 4GB 메모리 덤프를 마치게 됩니다. 현실적인 이유로 봤을 때, 아주 특별한 상황이 아니고서는 쓸 일이 별로 없을 것 같습니다. ^^;

---

검색해 보면, PowerShell의 Debug-VM 명령어도 나옵니다.

Advanced troubleshooting for Windows-based computer freeze issues
; https://learn.microsoft.com/ko-kr/windows/client-management/troubleshoot-windows-freeze#use-memory-dump-to-collect-data-for-the-virtual-machine-thats-running-in-a-frozen-state

다른 점이라면 대상 VM을 아예 BSOD를 발생시켜 덤프를 뜨게 만드는 것인데, 다음과 같이 실행해 보면,

PS C:\WINDOWS\system32> Debug-VM -Name "windows2019" -InjectNonMaskableInterrupt

(시스템을 다운시키는 것이므로) 질문을 한번 받게 되고,

Are you sure you want to inject a non-maskable interrupt into the virtual machine "windows2019"?

yes를 선택하면 "NMI HARDWARE FAILURE" 예외를 발생시켜 "C:\Windows\MEMORY.DMP" 파일로 덤프를 남기며 재부팅이 됩니다. 이때의 이벤트 로그에는 다음과 같은 메시지가 남게 됩니다.

로그 이름:         System
원본:            Microsoft-Windows-WER-SystemErrorReporting
날짜:            2020-07-14 오후 1:15:12
이벤트 ID:        1001
작업 범주:         없음
수준:            오류
키워드:           클래식
사용자:           해당 없음
컴퓨터:           windows2019.testad.com
설명:
컴퓨터가 오류 검사 후 다시 부팅되었습니다. 오류 검사: 0x00000080 (0x00000000004f4454, 0x0000000000000000, 0x0000000000000000, 0x0000000000000000). 덤프 저장 위치: C:\Windows\MEMORY.DMP. 보고서 ID: eaa12cd2-c8f0-455e-be62-e44fbff10240

---

참고로, livekd를 실행했을 때 이런 오류가 발생한다면?

C:\WINDOWS\system32> livekd -hv windows2019 -p -o c:\temp\memory.dmp

LiveKd v5.3 - Execute kd/windbg on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2012 Mark Russinovich and Ken Johnson

Unexpected failure from VidGetPartitionIds.
Invalid Hyper-V VM: windows2019
Specify the GUID or VM name of a running VM.
Use LiveKd -hvl to list running VMs.

C:\WINDOWS\system32> livekd -hvl

LiveKd v5.3 - Execute kd/windbg on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2012 Mark Russinovich and Ken Johnson

Unexpected failure from VidGetPartitionIds.
Unable to list active Hyper-V partitions: Error 31.
In order to perform Hyper-V VM debugging, this machine must have the Hyper-V role installed and active.

livekd를 최신 버전(5.63)으로 업데이트하시면 됩니다. 정상적으로 지원하기 시작하는 livekd라면 -hvl 옵션에서 다음과 같은 식의 VM 목록을 출력하게 될 것입니다.

C:\WINDOWS\system32> livekd -hvl

LiveKd v5.63 - Execute kd/windbg on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2020 Mark Russinovich and Ken Johnson

Partition GUID                         Name
902490AE-DA6C-4472-89E8-3F5A03BBDC87   win7
75DB36E8-F90D-4462-9EF2-6BAE20CDCDF5   win8
1AB47C73-1FB6-426E-AE80-EBF774483290   win10

또는, 실행시 다음과 같은 오류 메시지를 뱉는 경우도 있을 것입니다.

C:\WINDOWS\system32> livekd -hv windows2019 -p -o c:\temp\memory.dmp

LiveKd v5.63 - Execute kd/windbg on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2020 Mark Russinovich and Ken Johnson

Unexpected failure from VidGetPartitionIds.
Error finding kd.exe:
The system cannot find the file specified.

오류 내용을 잘 보면, windbg의 kd.exe를 찾지 못해 발생하는 것이므로 PATH에 windbg의 경로를 걸어준 후 실행하면 됩니다.

C:\WINDOWS\system32> set PATH=C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64;%PATH%

// set PATH=C:\Program Files (x86)\Windows Kits\10\Debuggers\x64;%PATH%

C:\WINDOWS\system32> livekd -hv windows2019 -p -o c:\temp\memory.dmp

그러니까 결국, Sysinternals의 livekd.exe와 windbg의 kd.exe가 함께 필요한 것입니다.

---

좀 더 검색해 보면, vm2dmp라는 도구도 찾을 수 있을 것입니다.

WindowsDiag/SHA/vm2dmp/
; https://github.com/CSS-Windows/WindowsDiag/tree/master/SHA/vm2dmp

Microsoft Hyper-V VM State to Memory Dump Converter
; https://learn.microsoft.com/en-us/archive/blogs/hugofe/microsoft-hyper-v-vm-state-to-memory-dump-converter

VM2DMP - Hyper-V (tm) VM State to Memory Dump Converter
; https://learn.microsoft.com/en-us/archive/blogs/virtualworld/vm2dmp-hyper-v-tm-vm-state-to-memory-dump-converter

하지만 아쉽게 이 도구는 현재 deprecated 상태라고 봐야 할 것입니다.

However, this tool works only on files created with Hyper-V Version 1 & 2 (Hyper-V/Windows Server 2008 & R2). When snapshots or saved states created on Hyper-V 2012 or 2012 R2 are tried being converted, the tool will fail.

그렇긴 한데, 배포본을 보면 2016과 2019에 대한 지원을 하는 듯 보여서,

vm2dmp_HYPER-V2016.zip
vm2dmp_HYPER-V2019.zip

실행해 봤지만 (어떻게 시도해봐도 ^^;) 오류가 발생합니다. (혹시, 2016/2019에서 vm2dmp로 성공하신 분은 덧글 부탁드립니다. ^^)

C:\vm2dmp\Debuggers\x64> vm2dmp.exe -vmrs C:\TESTVM\windows2019\Snapshots\730379DE-CF77-44DF-A802-3026F6438C5C.VMRS -dmp c:\temp\memory2.dmp
VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0)

ERROR: Library C:\WINDOWS\SYSTEM32\symsrv.dll could not be found in the same directory as loaded library dbghelp.dll. hr = 0x80070003.
ERROR: You need to have vm2dmp.exe in Debugging Tools for Windows installation folder or have dbghelp.dll and symsrv.dll in the same working directory as vm2dmp.exe.
'
ERROR: Result code 0x3

C:\vm2dmp\Debuggers\x64> vm2dmp.exe -vmrs "C:\TESTVM\windows2019\Snapshots\730379DE-CF77-44DF-A802-3026F6438C5C.VMRS" -dmp "c:\temp\memory2.dmp"
VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0)

INFO: Using VMRS file C:\TESTVM\windows2019\Snapshots\730379DE-CF77-44DF-A802-3026F6438C5C.vmrs

ERROR: Result code 0x2

C:\vm2dmp\Debuggers\x64> vm2dmp -vm "windows2019" -snap "windows2019-snap" -dmp "c:\temp\memory2.dmp"
VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0)

ERROR: Result code 0x80004005

C:\vm2dmp\Debuggers\x64> vm2dmp -vm "windows2019" -snap "windows2019 - (2020-07-14 - 오후 2:48:10)" -dmp "c:\temp\memory2.dmp"
VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0)

INFO: Using VMRS file C:\TESTVM\windows2019\Snapshots\46CE2553-6F58-4FCA-91A4-5199DA49CB61.vmrs

ERROR: Result code 0x2

C:\vm2dmp\Debuggers\x64> vm2dmp -vmrs "C:\TESTVM\windows2019\Virtual Machines\044EADA9-7BAA-4B19-AA54-4347E3D1FB38.VMRS" -dmp "c:\temp\memory2.dmp"
VM2DMP: Hyper-V VM State to Memory Dump Converter (version 3.0.0.0)

INFO: Using VMRS file C:\TESTVM\windows2019\Virtual Machines\044EADA9-7BAA-4B19-AA54-4347E3D1FB38.VMRS

ERROR: Result code 0x2

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 8/4/2020]
[최종 수정일: 4/13/2023]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com