[求助]求助IDA中符号显示问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]求助IDA中符号显示问题

发表于: 2010-4-12 17:05 5889

[求助]求助IDA中符号显示问题

haochao

2010-4-12 17:05

5889

在windbg 中能根据上下文环境自动显示响应的符号用于调试,比如:

nt!KiSystemService:
80542461 6a00          push 0
80542463 55             push ebp
80542464 53             push ebx
80542465 56             push esi
80542466 57             push edi
80542467 0fa0          push fs
80542469 bb30000000    mov    ebx,30h
8054246e 668ee3       mov    fs,bx
80542471 64ff3500000000  push dword ptr fs:[0]
80542478 64c70500000000ffffffff mov dword ptr fs:[0],0FFFFFFFFh
80542483 648b3524010000  mov    esi,dword ptr fs:[124h]
8054248a ffb640010000 push dword ptr [esi+140h]
80542490 83ec48       sub    esp,48h
80542493 8b5c246c       mov    ebx,dword ptr [esp+6Ch]
80542497 83e301       and    ebx,1
8054249a 889e40010000 mov    byte ptr [esi+140h],bl
805424a0 8bec          mov    ebp,esp
805424a2 8b9e34010000 mov    ebx,dword ptr [esi+134h]
805424a8 895d3c       mov    dword ptr [ebp+3Ch],ebx
805424ab 89ae34010000 mov    dword ptr [esi+134h],ebp
805424b1 fc             cld
805424b2 8b5d60       mov    ebx,dword ptr [ebp+60h]
805424b5 8b7d68       mov    edi,dword ptr [ebp+68h]
805424b8 89550c       mov    dword ptr [ebp+0Ch],edx
805424bb c74508000ddbba  mov    dword ptr [ebp+8],0BADB0D00h
805424c2 895d00       mov    dword ptr [ebp],ebx
805424c5 897d04       mov    dword ptr [ebp+4],edi
805424c8 f6462cff       test byte ptr [esi+2Ch],0FFh
805424cc 0f858afeffff jne    nt!Dr_kss_a (8054235c)

而在IDA 基本识别不出符号（前提是我已经用IDA load file 符号了),当然这都是未导出符号，就像下面:

.text:004067D1                push 0
.text:004067D3                push ebp
.text:004067D4                push ebx
.text:004067D5                push esi
.text:004067D6                push edi
.text:004067D7                push fs
.text:004067D9                mov    ebx, 30h
.text:004067DE                mov    fs, bx
.text:004067E0                push large dword ptr fs:0
.text:004067E7                mov    large dword ptr fs:0, 0FFFFFFFFh
.text:004067F2                mov    esi, large fs:124h
.text:004067F9                push dword ptr [esi+140h]
.text:004067FF                sub    esp, 48h
.text:00406802                mov    ebx, [esp+68h+arg_0]
.text:00406806                and    ebx, 1
.text:00406809                mov    [esi+140h], bl
.text:0040680F                mov    ebp, esp
.text:00406811                mov    ebx, [esi+134h]
.text:00406817                mov    [ebp+3Ch], ebx
.text:0040681A                mov    [esi+134h], ebp
.text:00406820                cld
.text:00406821                mov    ebx, [ebp+60h]
.text:00406824                mov    edi, [ebp+68h]
.text:00406827                mov    [ebp+0Ch], edx
.text:0040682A                mov    dword ptr [ebp+8], 0BADB0D00h
.text:00406831                mov    [ebp+0], ebx
.text:00406834                mov    [ebp+4], edi
.text:00406837                test byte ptr [esi+2Ch], 0FFh
.text:0040683B                jnz    loc_4066CC

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

收藏・0

免费・0

支持

最新回复 (2)
godspeed李雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	godspeed李 2 楼什么符号？没看出来啊 2010-4-12 17:25 0
haochao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	haochao 3 楼。。，呵呵，你仔细看看， ~搞定我这个版本的插件有毛病，装了5。2后，基本WINDBG上的未导出符号和FPO都能正常显示！！~ 2010-4-12 17:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

haochao

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
godspeed李雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	godspeed李 2 楼什么符号？没看出来啊 2010-4-12 17:25 0
haochao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 14 粉丝 0 关注私信	haochao 3 楼。。，呵呵，你仔细看看， ~搞定我这个版本的插件有毛病，装了5。2后，基本WINDBG上的未导出符号和FPO都能正常显示！！~ 2010-4-12 17:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复