Windows 相当于 System.map?
Windows equivalent of System.map?
我正在 QEMU 中对 windows VM 执行动态分析。我想根据 EIP 查看 Guest OS 中当前正在执行的功能(我只想了解 OS 在做什么)。
是否有 System.map 对应 windows 的等价物?在 Linux 中执行类似任务时,这就是我通常使用的方法。
我知道 windows 符号包,但我想知道如何在不使用两个 windows VM 的情况下执行此操作,因为我不需要完整的调试信息,只是函数地址。
我目前正在使用 windows 7
经过大量搜索,我找不到这样的等效项或可以提供的软件。
所以我分叉了一个例子,现在生成了我正在寻找的文件:https://github.com/zestrada/Dia2Dump_nm
这使用 Microsoft DIA SDK https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx to parse a PDB file for the kernel, ntkrnlmp.pdb (available: https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx)
我正在 QEMU 中对 windows VM 执行动态分析。我想根据 EIP 查看 Guest OS 中当前正在执行的功能(我只想了解 OS 在做什么)。
是否有 System.map 对应 windows 的等价物?在 Linux 中执行类似任务时,这就是我通常使用的方法。
我知道 windows 符号包,但我想知道如何在不使用两个 windows VM 的情况下执行此操作,因为我不需要完整的调试信息,只是函数地址。
我目前正在使用 windows 7
经过大量搜索,我找不到这样的等效项或可以提供的软件。
所以我分叉了一个例子,现在生成了我正在寻找的文件:https://github.com/zestrada/Dia2Dump_nm
这使用 Microsoft DIA SDK https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx to parse a PDB file for the kernel, ntkrnlmp.pdb (available: https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx)