성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] How Much Memory Do You Need in 2024...
[정성태] 특권을 조회하는 whoami 명령어 c:\temp> who...
[정성태] 커널 디버깅에서 특정 프로세스의 Token 정보 조회 //...
[정성태] What has case distinction but is ne...
[정성태] 대소문자 '변환'과 함께 따라오는 문제가 바로 대소문자 구분 없...
[정성태] Reverse-engineering what a "short" ...
[정성태] 윈도우의 경우, 스레드 관련 자원을 완전히 회수하기 위해 Thr...
[지현명] Android쪽에서 activity 접근 할때 아래꺼 적어 놓고...
[지현명] Maui.Android에서 폴더 관련 내용 정리 잘 되어 있네요...
[정성태] @정한솔 언급하신 사항이 맞습니다. (C# 13부터) 중간에 i...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>windbg - Win32 API 호출 시점에 BP 거는 방법</h1> <p> 아래의 Q&A를 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > MiniDumpWriteDump API로 덤프수집을 했는데요.. ; <a target='tab' href='https://www.sysnet.pe.kr/3/0/5811'>https://www.sysnet.pe.kr/3/0/5811</a> </pre> <br /> procdump가 생성한 덤프 파일은 정상적으로 handle 값이 보이는 반면, 단순히 MiniDumpWriteDump를 한 경우에는 그렇지 않다고 합니다. 그런데, 사실 procdump라고 해서 특별히 독자적으로 만든 덤프 코드를 쓰지는 않을 것입니다. 즉, 동일하게 MiniDumpWriteDump API를 사용할 텐데요, 그럼 혹시 procdump가 MiniDumpWriteDump를 특별한 옵션 조합으로 사용하는 것은 아닐까요? ^^<br /> <br /> 바로 그런 경우, windbg를 이용할 수 있습니다. 단순히 다음의 옵션으로 실행할 수 있는데,<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='dbg_win32api_1.png' src='/SysWebRes/bbs/dbg_win32api_1.png' /><br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // 실습을 위해 notepad를 실행시켰고 그것의 process id가 37768인 상태. Executable: c:\temp\procdump Arguments: -ma 37768 Start directory: c:\temp Target architecture: Autodetect </pre> <br /> 위의 옵션으로 "Debug" 버튼을 눌러 시작하면 해당 프로세스가 시작하자마자 BP가 걸리게 됩니다. 그런데, procdump의 경우 해당 프로세스는 32비트 프로세스라서 64비트 프로세스의 덤프를 뜨지 못합니다. 그래서 procdump는 대상 프로세스가 64비트인 경우 내부 리소스에 보관한 procdump64.exe 이미지를 실행 중에 디스크에 쓰고 그것을 자식 프로세스로 실행한 다음 해당 파일을 지우는 것으로 마무리합니다.<br /> <br /> 따라서, 우리가 원하는 MiniDumpWriteDump Win32 API는 현재의 32비트 procdump.exe에서 호출하지 않고 자식 프로세스의 procdump64.exe에서 호출될 것이므로 위와 같은 설정으로 실행하게 되면 BP가 잡히질 않습니다.<br /> <br /> 그래서 제 경우에는, procdump를 windbg 내에서 어느 정도 실행하다 procdump64.exe를 디스크에 쓰는 시점에 그 파일을 별도로 procdump64_2.exe로 복사해 두었습니다. 그런 다음, 다시 windbg 시작을 다음의 옵션으로 바꾸고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > Executable: c:\temp\<span style='color: blue; font-weight: bold'>procdump64_2</span> Arguments: -ma 37768 Start directory: c:\temp Target architecture: Autodetect </pre> <br /> 디버그 세션을 진행했습니다. 문서에 보면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > MiniDumpWriteDump function (minidumpapiset.h) ; <a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/api/minidumpapiset/nf-minidumpapiset-minidumpwritedump'>https://learn.microsoft.com/en-us/windows/win32/api/minidumpapiset/nf-minidumpapiset-minidumpwritedump</a> </pre> <br /> MiniDumpWriteDump API는 dbghelp.dll 또는 dbgcore.dll에 구현됐다고 하는데요, Windows 11의 경우에는 dbgcore.dll에 있으므로 다음과 같이 DLL 로딩 시 BP가 걸리는 명령어를 수행합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > sxe ld:Dbgcore.dll // 운영체제에 따라 // sxe ld:Dbghelp.dll </pre> <br /> 그다음 'g' 키를 눌러 dbgcore.dll 로딩 시점에 멈췄으면 이제 MiniDumpWriteDump API에 bp가 걸리도록 명령어를 수행합니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > bp Dbgcore!MiniDumpWriteDump </pre> <br /> 다시 'g' 키를 눌러 실행하면 다음과 같이 bp가 걸리는 것을 확인할 수 있습니다.<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='dbg_win32api_2.png' src='/SysWebRes/bbs/dbg_win32api_2.png' /><br /> <br /> MiniDumpWriteDump의 4번째 인자에 들어가는 값이 MINIDUMP_TYPE이니까, 위의 화면에서 r9 레지스터의 값이 0x0000000000469927 == 4,626,727이므로,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0100 0110 1001 1001 0010 0111 typedef enum _MINIDUMP_TYPE { MiniDumpNormal = 0x00000000, <span style='color: blue; font-weight: bold'>MiniDumpWithDataSegs = 0x00000001, MiniDumpWithFullMemory = 0x00000002, MiniDumpWithHandleData = 0x00000004,</span> MiniDumpFilterMemory = 0x00000008, MiniDumpScanMemory = 0x00000010, <span style='color: blue; font-weight: bold'>MiniDumpWithUnloadedModules = 0x00000020,</span> MiniDumpWithIndirectlyReferencedMemory = 0x00000040, MiniDumpFilterModulePaths = 0x00000080, <span style='color: blue; font-weight: bold'>MiniDumpWithProcessThreadData = 0x00000100,</span> MiniDumpWithPrivateReadWriteMemory = 0x00000200, MiniDumpWithoutOptionalData = 0x00000400, <span style='color: blue; font-weight: bold'>MiniDumpWithFullMemoryInfo = 0x00000800,</span> <span style='color: blue; font-weight: bold'>MiniDumpWithThreadInfo = 0x00001000,</span> MiniDumpWithCodeSegs = 0x00002000, MiniDumpWithoutAuxiliaryState = 0x00004000, <span style='color: blue; font-weight: bold'>MiniDumpWithFullAuxiliaryState = 0x00008000,</span> MiniDumpWithPrivateWriteCopyMemory = 0x00010000, <span style='color: blue; font-weight: bold'>MiniDumpIgnoreInaccessibleMemory = 0x00020000, MiniDumpWithTokenInformation = 0x00040000,</span> MiniDumpWithModuleHeaders = 0x00080000, MiniDumpFilterTriage = 0x00100000, MiniDumpWithAvxXStateContext = 0x00200000, <span style='color: blue; font-weight: bold'>MiniDumpWithIptTrace = 0x00400000,</span> MiniDumpScanInaccessiblePartialPages = 0x00800000, MiniDumpFilterWriteCombinedMemory = 0x01000000, MiniDumpValidTypeFlags = 0x01ffffff, } MINIDUMP_TYPE; </pre> <br /> 대략 값의 조합이 이렇게 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > MiniDumpWithDataSegs MiniDumpWithFullMemory MiniDumpWithHandleData MiniDumpWithUnloadedModules MiniDumpWithProcessThreadData MiniDumpWithFullMemoryInfo MiniDumpWithThreadInfo MiniDumpWithFullAuxiliaryState MiniDumpIgnoreInaccessibleMemory MiniDumpWithTokenInformation MiniDumpWithIptTrace </pre> <br /> 실제로 procdump를 이용한 덤프 상태와,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>.dumpdebug</span> ----- User Mini Dump Analysis MINIDUMP_HEADER: Version A793 (A05D) NumberOfStreams 19 Flags 661826 0002 MiniDumpWithFullMemory 0004 MiniDumpWithHandleData 0020 MiniDumpWithUnloadedModules 0800 MiniDumpWithFullMemoryInfo 1000 MiniDumpWithThreadInfo 20000 MiniDumpIgnoreInaccessibleMemory 40000 MiniDumpWithTokenInformation 200000 MiniDumpWithAvxXStateContext 400000 MiniDumpWithIptTrace ...[생략]... </pre> <br /> 위에서 알아낸 방법으로 조합한 MiniDumpWriteDump의 덤프 상태가,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>.dumpdebug</span> ----- User Mini Dump Analysis MINIDUMP_HEADER: Version A793 (A05D) NumberOfStreams 18 Flags 661826 0002 MiniDumpWithFullMemory 0004 MiniDumpWithHandleData 0020 MiniDumpWithUnloadedModules 0800 MiniDumpWithFullMemoryInfo 1000 MiniDumpWithThreadInfo 20000 MiniDumpIgnoreInaccessibleMemory 40000 MiniDumpWithTokenInformation 200000 MiniDumpWithAvxXStateContext 400000 MiniDumpWithIptTrace ...[생략]... </pre> <br /> 거의 비슷합니다. 단지, NumberOfStreams만 procdump가 하나 더 많은데요, 그래서인지 덤프 파일 크기도 procdump 쪽이 아주 약간 더 크게 나옵니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > prodcump: 327 MB (343,619,184 bytes) MiniDumpWriteDump: 327 MB (343,619,082 bytes) </pre> <br /> 그래도 아마... 저렇게 맞춘 정도라면 handle 명령어가 제대로 먹히지 않을까 싶군요. ^^<br /> <br /> <hr style='width: 50%' /><br /> <br /> 참고로, 위의 내용 중 적절한 시점에 procdump64.exe를 구할 수 있다고 했는데요, 이것 역시 위의 방법대로 동일하게 적용할 수 있습니다. 즉, 하위 프로세스를 생성할 것이므로 CreateProcess에 BP를 걸면 되는데요,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > CreateProcessA function (processthreadsapi.h) ; <a target='tab' href='https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createprocessa'>https://learn.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createprocessa</a> </pre> <br /> 문서에도 나오듯이 해당 API의 구현 모듈이 kernel32.dll이므로 다음과 같이 DLL 로딩에 BP가 걸리도록 하고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>sxe ld:kernel32.dll</span> 0:000> <span style='color: blue; font-weight: bold'>g</span> ModLoad: 00000000`77250000 00000000`7725a000 C:\WINDOWS\System32\wow64cpu.dll ModLoad: 00000000`75b70000 00000000`75c60000 C:\WINDOWS\SysWOW64\KERNEL32.DLL ntdll!NtMapViewOfSection+0x14: 00007ffa`f300f304 c3 ret </pre> <br /> BP가 걸렸으면 CreateProcess에 bp 설정을 하면 되지만,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>bp KERNEL32!CreateProcessW</span> Couldn't resolve error at 'KERNEL32!CreateProcessW' </pre> <br /> 없다고 나옵니다. <a target='tab' href='https://www.sysnet.pe.kr/2/0/12429'>kernel32.dll의 export 함수를 조사해 보면 CreateProcessWStub을 찾을 수 있는데요</a>, 다시 그걸로 bp 설정을 하고 그 위치에 bp가 걸릴 때까지 실행을 (두 번 정도) 'g' 키로 하면,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > 0:000> <span style='color: blue; font-weight: bold'>bp KERNEL32!CreateProcessWStub</span> 0:000> <span style='color: blue; font-weight: bold'>g</span> ModLoad: 00000000`74f80000 00000000`751eb000 C:\WINDOWS\SysWOW64\KERNELBASE.dll ...[생략]... ModLoad: 00000000`765f0000 00000000`7673d000 C:\WINDOWS\SysWOW64\ole32.dll ModLoad: 00000000`692e0000 00000000`69306000 d:\tools\sysinternals\pdh.dll ModLoad: 00000000`751f0000 00000000`7528c000 C:\WINDOWS\SysWOW64\OLEAUT32.dll (acc0.5928): WOW64 breakpoint - code 4000001f (first chance) First chance exceptions are reported before any exception handling. This exception may be expected and handled. ntdll32!LdrpDoDebuggerBreak+0x2b: 77317847 cc int 3 0:000:x86> <span style='color: blue; font-weight: bold'>g</span> SetContext failed, 0x80004005 ModLoad: 75640000 75666000 C:\WINDOWS\SysWOW64\IMM32.DLL ModLoad: 00000000`555e0000 00000000`557a7000 C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\dbghelp.dll ModLoad: 00000000`69200000 00000000`69229000 C:\WINDOWS\SysWOW64\dbgcore.DLL Breakpoint 0 hit KERNEL32!CreateProcessWStub: 75b8d930 8bff mov edi,edi </pre> <br /> 그 순간, procdump.exe가 있던 디렉터리를 보면 procdump64.exe 파일이 있는 것을 볼 수 있습니다.<br /> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1647
(왼쪽의 숫자를 입력해야 합니다.)