我在QEMU的Windows VM上执行动态分析。我想查看基于EIP的Guest OS中当前正在执行的功能(我只是想了解操作系统在做什么)。
是否有相当于Windows的System.map?在Linux中执行类似的任务时,我通常会使用它。
我知道windows符号包,但我试图在不使用两个Windows VM的情况下弄清楚如何执行此操作,因为我不需要完整的调试信息,只需要函数地址。
我目前正在使用Windows 7
答案 0 :(得分:0)
经过多次搜索,我找不到可以提供的等价物或软件。
所以我分叉了一个例子,现在生成我正在寻找的文件:https://github.com/zestrada/Dia2Dump_nm
这使用Microsoft DIA SDK https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx来解析内核的PDB文件ntkrnlmp.pdb(可用:https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx)