2

最近我试图了解更多关于 Windows 内核的信息。我为我的系统下载了正确的符号(win7 x64 免费)。我运行 IDA 并打开 ntoskrnl.exe。IDA 询问是否附加 pdb 文件。但是大部分功能都没有解决 - sub_XXXXXX。所以我运行了 Windbg,我解开了必须在 ntoskrnl - KiSystemCall64 中的随机选择的函数。它显示输出。但是IDA中没有这样的功能(或者没有解决)。总而言之,使用相同的符号,在 WinDBg 中未汇编的函数在 IDA 中无法解析(没有符号)(反之亦然)。我将不胜感激您的任何帮助和建议。

4

1 回答 1

3

你在为它加载符号后分析了模块吗?在“模块”窗口中,右键单击内核并选择“加载调试符号”。完成后,再次右键单击模块并选择“分析模块”。

-斯科特

于 2010-10-19T16:50:11.900 回答