我正在QEMU中对windows VM执行动态分析。我想查看基于EIP的客户操作系统内当前执行的功能(我只是想了解操作系统正在做什么)。
是否有与System相等的。windows地图?在Linux中执行类似任务时,我通常会使用这种方法。
我知道windows符号包,但我正试图弄清楚如何在不使用两个windows vm的情况下做到这一点,因为我不需要完整的调试信息,只需要函数地址。
我现在使用的是windows 7
经过多次搜索,我找不到这样的等同或软件可以提供。
所以我分叉了一个例子,现在生成我正在寻找的文件:https://github.com/zestrada/Dia2Dump_nm
它使用Microsoft DIA SDK https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx解析内核的PDB文件,ntkrnlmp.pdb(可用:https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx)