我正在 QEMU 中对 Windows VM 执行动态分析。我想查看基于 EIP 的来宾操作系统中当前正在执行的功能(我只是想了解操作系统在做什么)。
是否有相当于 Windows 的 System.map?在 Linux 中执行类似任务时,这就是我通常会使用的。
我知道 Windows 符号包,但我试图弄清楚如何在不使用两个 Windows VM 的情况下做到这一点,因为我不需要完整的调试信息,只需要函数地址。
我目前使用的是 Windows 7
问问题
54 次
1 回答
0
经过大量搜索,我找不到这样的等效或软件可以提供。
所以我分叉了一个例子,现在生成我正在寻找的文件:https ://github.com/zestrada/Dia2Dump_nm
这使用 Microsoft DIA SDK https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx来解析内核的 PDB 文件,ntkrnlmp.pdb(可用:https ://msdn.microsoft.com/en-us /windows/hardware/gg463028.aspx )
于 2015-08-21T21:30:37.207 回答