zoukankan      html  css  js  c++  java
  • 用WinDbg探索CLR世界[1] 安装与环境配置

    一直以来,我对CLR的分析都是基于MSDN、.NET Framework SDK自带文档和Rotor项目提供的源代码进行静态分析,辅以自己写的一些小例子或对Rotor的修修补补,来进行有限度的动态分析。虽然也用SoftIce跟踪过某些核心函数的机制,但感觉实在是太痛苦了,呵呵。
    最近偶然之间发现我的偶像John Robbins在MSDN的BugSlayer上发表的一篇文章<SOS: It's Not Just an ABBA Song Anymore>,才发现原来用WinDbg可以如此方便的动态分析CLR的运行机制。

    首先,需要下载并安装 Microsoft Debugging Tools [/url]。最好还能下载并安装当前操作系统相应的Windows Symbol Packages。
    然后,配置系统环境变量,让搜索路径指向系统.NET Framework的安装目录,既sos.dll所在目录

    set PATH=%PATH%;E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322

    启动WinDbg之后,在File/Symbol Search Path选项中加入符号文件的安装目录,如

    E:\WINDOWS\Symbols;E:\VS2003\SDK\v1.1\symbols

    或者设置系统环境变量_NT_SYMBOL_PATH(需要重起WinDbg)

    set _NT_SYMBOL_PATH=E:\WINDOWS\Symbols;E:\VS2003\SDK\v1.1\symbols

    最后,在File菜单中,用Open Executable打开一个CLR程序或者用Attach to a process附加到一个正在运行的CLR程序上。

    配置好WinDbg之后,如果打开一个新可执行程序,WinDbg会自动断点到入口,则继续运行再Break;如附加到进程则直接Break。
    然后在最下方命令行上输入系统命令 .load sos 命令载入外部扩展sos.dll。如果配置系统路径正确则这里不会有任何反应,可以继续用系统命令 .chain 查看当前载入的扩展。如下显示则表示sos.dll成功载入。


    以下为引用:

    0:005> .chain
    Extension DLL search Path:
    E:\MS\PlatformSDK\Debugging Tools\winext;...;E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322
    Extension DLL chain:
    sos: API 1.0.0, built Fri Feb 21 10:47:40 2003
    [path: E:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\sos.dll]
    dbghelp: image 6.3.0005.1, API 6.0.6, built Fri Oct 24 02:11:02 2003
    [path: E:\MS\PlatformSDK\Debugging Tools\dbghelp.dll]
    ext: image 6.3.0005.1, API 1.0.0, built Fri Oct 24 09:06:45 2003
    [path: E:\MS\PlatformSDK\Debugging Tools\winext\ext.dll]
    exts: image 6.3.0005.1, API 1.0.0, built Fri Oct 24 02:10:39 2003
    [path: E:\MS\PlatformSDK\Debugging Tools\WINXP\exts.dll]
    uext: image 6.3.0005.1, API 1.0.0, built Fri Oct 24 02:10:54 2003
    [path: E:\MS\PlatformSDK\Debugging Tools\winext\uext.dll]
    ntsdexts: image 6.0.4044.0, API 1.0.0, built Wed Oct 22 02:13:21 2003
    [path: E:\MS\PlatformSDK\Debugging Tools\WINXP\ntsdexts.dll]




    在载入sos.dll之后,可以用 lm 命令看看当前有哪些模块被载入内存,如


    以下为引用:

    0:005> lm
    start end module name
    ...
    77f30000 77ffa000 ntdll (export symbols) E:\WINDOWS\system32\ntdll.dll
    79000000 79010000 ConfigWizards (deferred)
    79040000 79085000 fusion (deferred)
    79170000 79196000 mscoree (deferred)
    791b0000 79412000 mscorwks (deferred)
    ...




    对希望进行分析的模块,可以用ld命令载入相应的调试符号文件(如果有的话,呵呵)。
    如果符号文件搜索路径配置正确的话,可以看到提示


    以下为引用:

    0:005> ld mscorjit
    Symbols loaded for MSCORJIT




    此时再用lm可以看到


    以下为引用:

    ...
    79430000 7947c000 MSCORJIT (pdb symbols) E:\VS2003\SDK\v1.1\symbols\mscorjit.pdb
    ...




    如果符号文件搜索路径配置错误,或者此模块没有调试符号文件,则会载入.dll的export表


    以下为引用:

    79170000 79196000 mscoree (export symbols) E:\WINDOWS\system32\mscoree.dll




    或者干脆没有符号


    以下为引用:

    79780000 79980000 mscorlib (no symbols)




    完成以上的配置之后,就可以正式开始用WinDbg探索CLR的内部世界了,你可以敲个!SyncBlk,呵呵。
  • 相关阅读:
    Windows批处理方式实现MySQL定期自动备份多个数据库
    MySQL数据库中库、表名、字段的大小写问题
    使用modbus4j通过串口解析modbus协议(java)
    mybatis —— 动态sql之if条件判断各种使用方式
    Mysql 获取表的comment 字段
    [转载]如何判断数据库,表或字段是否存在
    设计模式目录
    图片上传及访问
    实现第一个API
    ListView 源码解析
  • 原文地址:https://www.cnblogs.com/holly/p/1408277.html
Copyright © 2011-2022 走看看