首页
社区
课程
招聘
[求助]求助IDA中符号显示问题
发表于: 2010-4-12 17:05 5914

[求助]求助IDA中符号显示问题

2010-4-12 17:05
5914
在windbg 中能根据上下文环境自动显示响应的符号用于调试,比如:

nt!KiSystemService:
80542461 6a00            push    0
80542463 55              push    ebp
80542464 53              push    ebx
80542465 56              push    esi
80542466 57              push    edi
80542467 0fa0            push    fs
80542469 bb30000000      mov     ebx,30h
8054246e 668ee3          mov     fs,bx
80542471 64ff3500000000  push    dword ptr fs:[0]
80542478 64c70500000000ffffffff mov dword ptr fs:[0],0FFFFFFFFh
80542483 648b3524010000  mov     esi,dword ptr fs:[124h]
8054248a ffb640010000    push    dword ptr [esi+140h]
80542490 83ec48          sub     esp,48h
80542493 8b5c246c        mov     ebx,dword ptr [esp+6Ch]
80542497 83e301          and     ebx,1
8054249a 889e40010000    mov     byte ptr [esi+140h],bl
805424a0 8bec            mov     ebp,esp
805424a2 8b9e34010000    mov     ebx,dword ptr [esi+134h]
805424a8 895d3c          mov     dword ptr [ebp+3Ch],ebx
805424ab 89ae34010000    mov     dword ptr [esi+134h],ebp
805424b1 fc              cld
805424b2 8b5d60          mov     ebx,dword ptr [ebp+60h]
805424b5 8b7d68          mov     edi,dword ptr [ebp+68h]
805424b8 89550c          mov     dword ptr [ebp+0Ch],edx
805424bb c74508000ddbba  mov     dword ptr [ebp+8],0BADB0D00h
805424c2 895d00          mov     dword ptr [ebp],ebx
805424c5 897d04          mov     dword ptr [ebp+4],edi
805424c8 f6462cff        test    byte ptr [esi+2Ch],0FFh
805424cc 0f858afeffff    jne     nt!Dr_kss_a (8054235c)

而在IDA 基本识别不出符号(前提是我已经用IDA load file 符号了),当然这都是未导出符号,就像下面:

.text:004067D1                 push    0
.text:004067D3                 push    ebp
.text:004067D4                 push    ebx
.text:004067D5                 push    esi
.text:004067D6                 push    edi
.text:004067D7                 push    fs
.text:004067D9                 mov     ebx, 30h
.text:004067DE                 mov     fs, bx
.text:004067E0                 push    large dword ptr fs:0
.text:004067E7                 mov     large dword ptr fs:0, 0FFFFFFFFh
.text:004067F2                 mov     esi, large fs:124h
.text:004067F9                 push    dword ptr [esi+140h]
.text:004067FF                 sub     esp, 48h
.text:00406802                 mov     ebx, [esp+68h+arg_0]
.text:00406806                 and     ebx, 1
.text:00406809                 mov     [esi+140h], bl
.text:0040680F                 mov     ebp, esp
.text:00406811                 mov     ebx, [esi+134h]
.text:00406817                 mov     [ebp+3Ch], ebx
.text:0040681A                 mov     [esi+134h], ebp
.text:00406820                 cld
.text:00406821                 mov     ebx, [ebp+60h]
.text:00406824                 mov     edi, [ebp+68h]
.text:00406827                 mov     [ebp+0Ch], edx
.text:0040682A                 mov     dword ptr [ebp+8], 0BADB0D00h
.text:00406831                 mov     [ebp+0], ebx
.text:00406834                 mov     [ebp+4], edi
.text:00406837                 test    byte ptr [esi+2Ch], 0FFh
.text:0040683B                 jnz     loc_4066CC

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
什么符号?没看出来啊
2010-4-12 17:25
0
雪    币: 114
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
。。,呵呵,你仔细看看,
~搞定我这个版本的插件有毛病,装了5。2后,基本WINDBG上的未导出符号和FPO都能正常显示!!~
2010-4-12 17:53
0
游客
登录 | 注册 方可回帖
返回
//