首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 求助问答
    3. 发新帖
[求助]IDA分析windows内核文件符号加载问题
2024-1-22 09:37 1880

[求助]IDA分析windows内核文件符号加载问题

mb_tdzonqfh 活跃值
2024-1-22 09:37
1880

我使用IDA7.7分析win11内核文件,ida成功在微软的符号仓库下载了pdb文件,但是IDA展示的结构体不完整,函数符号是正常的,我通过工具查看下载的符号文件发现符号文件中是存在对应的结构体的。

查找kpcr结构体,发现在结构体中是没有的。

查看下载的pdb文件是正常下载了的

使用PDBRipper工具查看符号文件,能够正常查看到结构体。


[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (5)
xiangyandt
雪    币: 1556
活跃值: (1419)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xiangyandt 2024-1-22 10:16
2
0
Local Types视图有没有_KPCR,有的话右键,同步到idb
mb_tdzonqfh
雪    币: 209
活跃值: (339)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mb_tdzonqfh 2024-1-22 10:26
3
0
xiangyandt Local Types视图有没有_KPCR,有的话右键,同步到idb

有是有但是导入后结构不太对
xiangyandt
雪    币: 1556
活跃值: (1419)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xiangyandt 2024-1-22 10:46
4
0
它里面还有其他结构体,你全同步到idb。尤其那个_KPRCB
mb_tdzonqfh
雪    币: 209
活跃值: (339)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mb_tdzonqfh 2024-1-22 11:02
5
0
xiangyandt 它里面还有其他结构体,你全同步到idb。尤其那个_KPRCB

全部导入了,但是这个结构还是存在问题,都没有相互引用的关系,而且结构展示不玩完整
xiangyandt
雪    币: 1556
活跃值: (1419)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xiangyandt 2024-1-22 12:47
6
0
你这大小都不对,我win10上的都0x9080。全清掉重新Load下,或者手工对着pdbripper调整下
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回