Windows эквивалент System.map?

Question

Windows эквивалент System.map?

Я выполняю динамический анализ на Windows VM в QEMU. Я хотел бы посмотреть, какая функция в настоящее время выполняется в гостевой ОС на основе EIP (я просто хочу иметь представление о том, что делает ОС).

Есть ли эквивалент System.map для Windows? При выполнении аналогичной задачи в Linux это то, что я обычно использую.

Я знаю о пакетах символов Windows, но я пытаюсь понять, как это сделать, не используя две виртуальные машины Windows, так как мне не нужна полная отладочная информация, только адреса функций.

Я в настоящее время использую Windows 7

-1

windows dynamic-analysis

Источник

user825518 11 авг '15 в 21:02

1 ответ

Решение

Другие вопросы по тегам windows dynamic-analysis

user825518 21 авг '15 в 21:30 2015-08-21 21:30 · Accepted Answer · 2015-08-21 21:30

После долгих поисков я не смог найти такого эквивалента или программного обеспечения, которое его предоставит.

Поэтому я разработал пример и теперь сгенерирую искомый файл: https://github.com/zestrada/Dia2Dump_nm

Это использует Microsoft DIA SDK https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx для анализа файла PDB для ядра, ntkrnlmp.pdb (доступно: https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx)