如果自己有pdb文件且和可执行程序在同一文件夹下,ghidra会自动加载相应pdb文件。
分析Windows自身的可执行程序时,如果可以获取微软提供的符号文件,可以极大提高分析效率。
打开一个可执行程序,界面操作 Edit -> Symbol Server Config:
Analysis -> Auto Analyze...点击"PDB Universal",右侧勾选"Search remote symbol server"点击"Analyze"即可
以vbscript.dll举例,分析之后entry函数内有"__DllMainCRTStartup"函数在之前选择的文件夹内可以找到vbscript.pdb文件夹
Help -> ContentsGhidra Functionality -> Program Annotation -> PDB, 这里有详细的解释
2024/9/3
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
