我试图在 windbg 中使用“dt”命令查看 IMAGE_DOS_HEADER 结构:
0:001> dt ntdll!IMAGE_DOS_HEADER **Symbol ntdll!IMAGE_DOS_HEADER not found**
我搜索了一下,发现其他人已经可以做到这一点: MSDN Blogs > Junyoung's Blog > Portable Executable File Format on Memory Dump
0:000> dt IMAGE_DOS_HEADER 77c00000 ntdll!IMAGE_DOS_HEADER +0x000 e_magic : 0x5a4d ? MZ +0x002 e_cblp : 0x90 +0x004 e_cp : 3 +0x006 e_crlc : 0 +0x008 e_cparhdr : 4 +0x00a e_minalloc : 0 +0x00c e_maxalloc : 0xffff +0x00e e_ss : 0 +0x010 e_sp : 0xb8 +0x012 e_csum : 0 +0x014 e_ip : 0 +0x016 e_cs : 0 +0x018 e_lfarlc : 0x40 +0x01a e_ovno : 0 +0x01c e_res : [4] 0 +0x024 e_oemid : 0 +0x026 e_oeminfo : 0 +0x028 e_res2 : [10] 0 +0x03c e_lfanew : 232
是否可以将缺少的符号添加到 ntdll 的公共(public)符号中,以便我可以在 windbg 调试 session 中访问数据结构字段?
这真的很奇怪 - 我尝试了以下并在 win7 和 winxp 系统上得到了不同的结果 - 操作系统:
0:015> dt ntdll!*HEADER* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_SLIST_HEADER ntdll!_DISPATCHER_HEADER ntdll!_IMAGE_SECTION_HEADER
Win7:
0:000> dt ntdll!*HEADER* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_SLIST_HEADER ntdll!_DISPATCHER_HEADER ntdll!_MM_PAGE_ACCESS_INFO_HEADER ntdll!_WHEA_ERROR_RECORD_HEADER ntdll!_HEAP_USERDATA_HEADER ntdll!_HEAP_USERDATA_HEADER ntdll!_WHEA_ERROR_RECORD_HEADER_VALIDBITS ntdll!_WHEA_ERROR_RECORD_HEADER_FLAGS ntdll!_XSAVE_AREA_HEADER
所以 _IMAGE_DOS_HEADER 符号似乎从 winxp 的 ntdll.dll 的公共(public)符号中删除了 - 我的问题仍然存在 - 如果我知道结构到我没有的 dll 的公共(public)符号 dll,我该如何添加符号来源?
最佳答案
这种情况确实发生了,实际上这可能非常令人沮丧(尽管他们已经很好地清理了很多此类问题)。
您可以向现有 PDB 添加类型,但它要求您有可用的 Visual C 编译器(来自 Visual Studio 或 WDK)。我在这里概述了我的回复中的步骤:
http://www.osronline.com/showthread.cfm?link=193747
我们在那里使用内核,尽管您有相同的步骤。不同之处在于:
1) 寻找 ntdll 而不是 nt
2) 您需要编写一个包含所需结构定义的 C 文件。
-斯科特
关于windows - 是否可以在 windbg 调试 session 中将缺失的符号添加到公共(public)符号?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4278146/