逆向小tips

记一些逆向中的小贴示

0x01 符号表

简单的说没有符号表看到的函数可能就是一个地址，添加了符号表之后就可以看到函数具体的名字了

微软的符号表可以去微软的服务器下载，在下载windbg后在同目录下找到symchk.exe

1
2

symchk /r D:\sym /s SRV*d:\sym\*http://msdl.microsoft.com/download/symbols
symchk /r 要下载pdb文件的文件存放路径，比如你要下载kernel32.dll的符号表，可以把kernel32复制出来放到一个文件里，这里填文件夹路径就好 /s SRV*下载后保存的路径*http://msdl.microsoft.com/download/symbols

当然首先要找的符号表微软服务器上要有

x64dbg添加符号表

选项->选项->其他，然后把存放pdb文件的路径填上就好

IDA添加符号表

未添加符号表之前，是看不到函数名称的

File->Load file->PDB file

加载符号表之后可以在左侧看到函数名称了

注意不同的系统用的dll这些也是不同的，不能把win7的kernel32.dll的符号表加载到win10上，不同的文件可以用上面的方法下载对应的符号表

windbg添加符号表

直接在windbg中输入

1

.sympath d:\symbols;srv*D:\symbols*https://msdl.microsoft.com/download/symbols

然后windbg在用到什么的时候就会去下载对应的符号表，如果双机调试的话下载的符号表是被调试机器的