-
-
[原创]分享一个超简单的PDB解析库EasyPdb
-
发表于: 2022-7-23 20:15
-
最近在写ARK工具,有使用未导出函数,访问某些内核结构的需求。github上有不少相关的库,如raw_pdb, pdbex等,但是里面很多功能我用不到,所以我自己封装了一个精简版的PDB解析库,可以很方便地下载PDB,获取全局变量和函数的RVA,以及获取结构体字段偏移。
用法也是非常简单的,几个API看参数就能知道是干什么的:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 | int test2(){ EZPDB pdb = { 0 };#ifndef _AMD64_ PVOID OldValue = NULL; Wow64DisableWow64FsRedirection(&OldValue);#endif // "f9fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3I4Q4x3X3g2T1L8r3q4U0K9$3W2F1N6o6y4Q4x3X3g2U0L8$3#2Q4x3@1p5^5z5q4)9J5c8X3c8G2N6$3&6D9L8$3q4V1i4K6u0r3M7%4W2E0j5X3!0D9M7#2)9J5c8R3`.`." DWORD dwError = EzInitPdb(&pdb, "C:\\Windows\\System32\\", "ntoskrnl.exe", TRUE, NULL, "D:\\symboldownload");#ifndef _AMD64_ Wow64RevertWow64FsRedirection(&OldValue);#endif if (dwError != 0) { printf("init pdb error: %x\n", dwError); return dwError; } dwError = EzLoadPdb(&pdb); if (dwError != 0) { printf("load pdb error: %x\n", dwError); return dwError; } DWORD rva = 0; DWORD Offset = 0; if (EzGetRva(&pdb, "KeServiceDescriptorTable", &rva)) { printf("KeServiceDescriptorTable: %x\n", rva); } if (EzGetRva(&pdb, "PspTerminateThreadByPointer", &rva)) { printf("PspTerminateThreadByPointer: %x\n", rva); } if (EzGetOffset(&pdb, "_EPROCESS", L"ActiveProcessLinks", &Offset)) { printf("_EPROCESS.ActiveProcessLinks: %x\n", Offset); } if (EzGetOffset(&pdb, "_ETHREAD", L"ThreadListEntry", &Offset)) { printf("_ETHREAD.ThreadListEntry: %x\n", Offset); } EzPdbUnload(&pdb); return 0;} |
[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
菜鸟路过 为啥地址不是 PspCreateProcessNotifyRoutine FFFFF80004038500 这样的 而是 000000000021B500 这样的
|
|
|
加上Ntoskrnel的基质 |
|
|
谢谢 我现在试一试 
|
|
|
ntoskrnel+pdb 函数地址PspCreateProcessNotifyRoutine FFFFF80014085780
真实地址 PspCreateProcessNotifyRoutine FFFFF80004085780 咋办 大佬
|
|
|
搞定了 谢谢
|
|
|
|
|
|
我改了,可以参考github上面的demo |
|
|
上班摸鱼是吧 
|
|
|
|
