ida 遇到的 sub_地址 问题

本文介绍了在使用ida分析.sys文件时遇到的函数名显示为sub_地址的问题,原因是Windows内核文件去除了符号段。为了解决这个问题,文章分享了如何链接到Microsoft公共符号服务器,包括设置_NT_SYMBOL_PATH环境变量,并讨论了可能出现的加载符号文件失败的解决方法。同时,文章提到了免安装ida加载符号表的两种方案:使用windbg的symchck或先用安装版ida下载符号表。
摘要由CSDN通过智能技术生成
在使用ida 分析 .sys文件时,发现几乎所有的函数名都是 sub_地址 的形式,经过查找,找到了原因和解决方法。与大家分享一下。

首先我们知道,可执行文件和目标文件里都会有一个符号段,用来存放函数名以及段名。ida在反汇编时通过这个段来定义各个函数的函数名。

然而,windows 为了缩小内核文件的体积,去除了符号段。关于去除符号段的方法可以参考 strip 工具

这就造成了开头的那个问题,也对我们分析内核文件带来了困难。

不过,微软在网上提供了一个符号存储库以供下载,但是后来windows的更新频率太快了,就不再提供直接下载功能。而是提供了一个在线的 Microsoft公共符号服务器
这里写图片描述
要想进行分析,我们就要拿到符号表,而windows 的符号表其实可以从网上下载。以前windows的符号表是可以完全下载到本地的。但是后来由于windows更新频率的加快,导致符号表过时过快。所以现在符号表都是放置在在线符号服务器上的。
详情链接:

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值