研究win32k.sys的时候顺手copy出了windbg下载的.pdb和.sys,拖进IDA,结果发现一堆奇怪的问题。
首先导出的数据结构少得可怜,就30多个。看起来是微软不想公开,算了。:3:
另外一堆函数的符号在windbg里是能解析的,比如NtUserBuildHwndList,但是到了IDA里,左侧的函数列表里根本没有,:eek:得手动找到代码,然后看反汇编……这时候,发现有能解析函数名了,诡异……
这是IDA的问题还是符号的问题?符号文件看起来是对的,创建日期和.sys在同一天
首先导出的数据结构少得可怜,就30多个。看起来是微软不想公开,算了。:3:
另外一堆函数的符号在windbg里是能解析的,比如NtUserBuildHwndList,但是到了IDA里,左侧的函数列表里根本没有,:eek:得手动找到代码,然后看反汇编……这时候,发现有能解析函数名了,诡异……
这是IDA的问题还是符号的问题?符号文件看起来是对的,创建日期和.sys在同一天