一直以来,我对CLR的分析都是基于MSDN、.NET Framework SDK自带文档和Rotor项目提供的源代码进行静态分析,辅以自己写的一些小例子或对Rotor的修修补补,来进行有限度的动态分析。虽然也用SoftIce跟踪过某些核心函数的机制,但感觉实在是太痛苦了,呵呵。
最近偶然之间发现我的偶像John Robbins在MSDN的BugSlayer上发表的一篇文章<SOS: It's Not Just an ABBA Song Anymore>,才发现原来用WinDbg可以如此方便的动态分析CLR的运行机制。
首先,需要下载并安装 Microsoft Debugging Tools [/url]。最好还能下载并安装当前操作系统相应的Windows Symbol Packages。
然后,配置系统环境变量,让搜索路径指向系统.NET Framework的安装目录,既sos.dll所在目录
set PATH=%PATH%;E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322
启动WinDbg之后,在File/Symbol Search Path选项中加入符号文件的安装目录,如
E:\WINDOWS\Symbols;E:\VS2003\SDK\v1.1\symbols
或者设置系统环境变量_NT_SYMBOL_PATH(需要重起WinDbg)
set _NT_SYMBOL_PATH=E:\WINDOWS\Symbols;E:\VS2003\SDK\v1.1\symbols
最后,在File菜单中,用Open Executable打开一个CLR程序或者用Attach to a process附加到一个正在运行的CLR程序上。
配置好WinDbg之后,如果打开一个新可执行程序,WinDbg会自动断点到入口,则继续运行再Break;如附加到进程则直接Break。
然后在最下方命令行上输入系统命令 .load sos 命令载入外部扩展sos.dll。如果配置系统路径正确则这里不会有任何反应,可以继续用系统命令 .chain 查看当前载入的扩展。如下显示则表示sos.dll成功载入。
以下为引用:
0:005> .chain
Extension DLL search Path:
E:\MS\PlatformSDK\Debugging Tools\winext;...;E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322
Extension DLL chain:
sos: API 1.0.0, built Fri Feb 21 10:47:40 2003
[path: E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\sos.dll]
dbghelp: image 6.3.0005.1, API 6.0.6, built Fri Oct 24 02:11:02 2003
[path: E:\MS\PlatformSDK\Debugging Tools\dbghelp.dll]
ext: image 6.3.0005.1, API 1.0.0, built Fri Oct 24 09:06:45 2003
[path: E:\MS\PlatformSDK\Debugging Tools\winext\ext.dll]
exts: image 6.3.0005.1, API 1.0.0, built Fri Oct 24 02:10:39 2003
[path: E:\MS\PlatformSDK\Debugging Tools\WINXP\exts.dll]
uext: image 6.3.0005.1, API 1.0.0, built Fri Oct 24 02:10:54 2003
[path: E:\MS\PlatformSDK\Debugging Tools\winext\uext.dll]
ntsdexts: image 6.0.4044.0, API 1.0.0, built Wed Oct 22 02:13:21 2003
[path: E:\MS\PlatformSDK\Debugging Tools\WINXP\ntsdexts.dll]
在载入sos.dll之后,可以用 lm 命令看看当前有哪些模块被载入内存,如
以下为引用:
0:005> lm
start end module name
...
77f30000 77ffa000 ntdll (export symbols) E:\WINDOWS\system32\ntdll.dll
79000000 79010000 ConfigWizards (deferred)
79040000 79085000 fusion (deferred)
79170000 79196000 mscoree (deferred)
791b0000 79412000 mscorwks (deferred)
...
对希望进行分析的模块,可以用ld命令载入相应的调试符号文件(如果有的话,呵呵)。
如果符号文件搜索路径配置正确的话,可以看到提示
以下为引用:
0:005> ld mscorjit
Symbols loaded for MSCORJIT
此时再用lm可以看到
以下为引用:
...
79430000 7947c000 MSCORJIT (pdb symbols) E:\VS2003\SDK\v1.1\symbols\mscorjit.pdb
...
如果符号文件搜索路径配置错误,或者此模块没有调试符号文件,则会载入.dll的export表
以下为引用:
79170000 79196000 mscoree (export symbols) E:\WINDOWS\system32\mscoree.dll
或者干脆没有符号
以下为引用:
79780000 79980000 mscorlib (no symbols)
完成以上的配置之后,就可以正式开始用WinDbg探索CLR的内部世界了,你可以敲个!SyncBlk,呵呵。