最近我试图了解有关Windows内核的更多信息。我下载了正确的符号 对于我的系统(win7 x64免费)。我运行IDA并打开ntoskrnl.exe。 IDA询问是否附加pdb文件。但大多数功能都没有解决 - sub_XXXXXX。所以我运行了Windbg,我组装了随机选择的函数,必须在ntoskrnl - KiSystemCall64中。它显示输出。 但IDA中没有这样的功能(或者没有解决)。总而言之,使用相同的符号,在WinDBg中未组装的函数在IDA中不会被解析(没有它们的符号)(反之亦然)。 我很感激您的任何帮助和建议。
答案 0 :(得分:3)
在为其加载符号后是否对模块进行了分析?在“模块”窗口中,右键单击内核并选择“加载调试符号”。完成后,再次右键单击该模块,然后选择“分析模块”。
-Scott