x64加载内核符号解析地址

最新推荐文章于 2025-03-11 12:17:08 发布
转载 最新推荐文章于 2025-03-11 12:17:08 发布 · 2.4k 阅读 · 3

本文提供了一段简洁易懂的x64内核符号枚举代码,包括从设备驱动中获取符号路径、加载模块并进行符号枚举等关键步骤。适用于学习和实践内核开发及符号解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文:【推荐】分享一个x64内核符号枚举代码 50行 简洁易懂

作者:友情zyj

链接:http://bbs.pediy.com/showthread.php?t=204535


#include <Windows.h>
#include <stdio.h>
#include <string>
#include <psapi.h>

#include "dbghelp.h"
#pragma comment(lib,"dbghelp.lib")

BOOL CALLBACK EnumSymCallBack(PSYMBOL_INFO pSymInfo, ULONG SymbolSize, PVOID UserContext)
{
  if (strcmp((pSymInfo->Name), "PspCreateProcessNotifyRoutine") == 0 ||
    strcmp((pSymInfo->Name), "PspLoadImageNotifyRoutine")     == 0 ||
    strcmp((pSymInfo->Name), "PspCreateThreadNotifyRoutine")  == 0)
  {
      printf("%-30s :%p\n", pSymInfo->Name, pSymInfo->Address);
  }
  return TRUE;
}

int main()
{
  std::string strMod;
  PVOID dwBaseAddr = 0;
  PVOID pDrvAddr[128*8];
  DWORD dwcbNeeded = 0;
  if (EnumDeviceDrivers(pDrvAddr,sizeof(pDrvAddr),&dwcbNeeded))
  {
    for (unsigned int i=0 ; i<(dwcbNeeded/8) ; i++)
    {
      LPSTR chDrvName[MAX_PATH];
      GetDeviceDriverBaseNameA(pDrvAddr[i],(LPSTR)chDrvName,MAX_PATH);
      dwBaseAddr = pDrvAddr[i];
      strMod = std::string((char*)chDrvName);
      printf("%-20s 0x%p\n",strMod.c_str(),dwBaseAddr);
      break;
    }
  }
  SymSetOptions(SYMOPT_DEFERRED_LOADS);
  HANDLE hProcess = GetCurrentProcess();
  SymInitialize(hProcess, 0, FALSE);
  std::string strSymbolPath = "srv*C:\\Windows\\symbols*http://msdl.microsoft.com/download/symbols";
  std::string strSystemPath = "C:\\Windows\\System32\\" + strMod;
  SymSetSearchPath(hProcess, strSymbolPath.c_str());
  HANDLE hSystemFile = CreateFileA(strSystemPath.c_str(), GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE,
    NULL, OPEN_EXISTING, 0, NULL);
  DWORD dwFileSize = GetFileSize(hSystemFile, NULL);
  DWORD64  dwBase = SymLoadModule64(hProcess, NULL, strSystemPath.c_str(), NULL, (DWORD64)dwBaseAddr, dwFileSize);
  printf("正在枚举符号...\n");
  SymEnumSymbols(hProcess, dwBase, 0, EnumSymCallBack, 0);
  printf("枚举符号结束...\n");
  SymUnloadModule64(hProcess, dwBase);
  SymCleanup(hProcess);
  system("pause");
  return 0;
}


看别人源码写的邋里邋遢,于是改了下,发上来看看大家能用不


工程要编译成x64位的。


还需要两个DLL  dbghelp.dll   symsrv.dll  和编译生成的EXE放在一起 (在windbg目录有这俩个DLL)


以下是测试结果...
ntoskrnl.exe         0xFFFFF8000400E000
正在枚举符号...
PspCreateProcessNotifyRoutine  :FFFFF80004234F80
PspLoadImageNotifyRoutine      :FFFFF80004234D00
PspCreateThreadNotifyRoutine   :FFFFF80004234D60
枚举符号结束...
请按任意键继续. . . 



Windows内核符号表学习总结
bcbobo21cn的专栏
08-03 3876
内核符号表 http://blog.youkuaiyun.com/vbsourcecode/article/details/8555796 在进行Windows Driver开发调试中,内核符号表是个问题。由于网络不稳定,利用windbg下载不了,在 WDK的documentation中查找到下载然后本地运用的地址,贴上来:http://msdn.microsoft.com/en-
获取内核函数的原始地址
sgzwiz的专栏
04-29 3214
本文以获取NtReadVirtualMemory讲述当该函数被HOOK后如何获取到正确的地址为例,解析获取原始内核函数地址的一种思路。思路虽然比较笨拙,但是也不失为一种解决办法。    图片:1.bmp  上图中NtReadVirtualMemory函数被hook了,如果我们从SSDT表获取函数的地址,则获取到的函数地址为0XA1277AFE而不是原始的函数地址0x805884F7,并且
Windows x64内核学习笔记(五)—— KPTI(未完待续)
lzyddf的博客
03-04 2016
Windows x64内核学习笔记(五)—— KPTIKPTI实验一:构造IDT后门并读取Cr3实验二:访问KVASCODE区段实验三:访问TEXT区段参考资料 KPTI 描述:KPTI(Kernel page-table isolation)即内核页表隔离机制。 在学习SMEP&SMAP两个标志位时,我们成功通过将这两个标志位的值置0以达到让处于内核权限的CPU拥有读写和执行用户代码的权限,但实际上,只有内核模块的KVASCODE区段范围的地址是可读的,正是因为x64模式拥有内核页表隔离机制。
符号表选项设置
weixin_34191845的博客
06-29 390
.symopt 命令 .symopt+0x4 SYMOPT_DEFERRED_LOADS .symopt+0x40 SYMOPT_LOAD_ANYTHING 转载于:https://www.cnblogs.com/fanzi2009/archive/2013/04/07/3003253.html
记一次X64dbg导入MAP文件后符号地址错误的解决方法
weixin_40642404的博客
05-01 958
IDA版本:7.2 X64Dbg版本:x64dbg_2021_03_12 X64Dbg加载Map文件插件:SwissArmyKnife 9-26-2020 假期想重新分区,给C盘扩展一下,结果系统进不去了,重置后进系统却没有网络,ping不出去,尝试各种方法后无奈准备调试ping.exe看能不能找到问题,这是前提条件 因为工作电脑ping不出去,没网,就吧ping.exe拷贝到另一台电脑上用IDA7.2加载系统符号分析一下。然后在工作电脑上用X64dbg调试。加载系统符号后清晰了很多,所有函数都被识别了出来
解析pdb文件得到未导出变量地址(转)
07-31 720
程序要用到dbghelp.dll中的一些函数 http://msdn.microsoft.com/en-us/library/ms679291%28VS.85%29.aspx 要自己下载系统对应的符号文件 首先是一些初始化的东西: 设置符号选项,调用下面两个函数 DWORD Options = SymGetOptions(); Options = Options|SY...
Linux内核设备驱动之Linux内核模块加载机制笔记整理
09-15
内核模块的加载通常通过`insmod`命令完成,它会解析模块文件并将其加载到内存中。加载时,内核会执行模块初始化函数(定义为`init_module`),并在需要时调用模块的退出函数(定义为`cleanup_module`)。此外,可以...
掌握Windbg x86+x64Windows内核调试工具分析指南
**描述:** "windows 内核调试工具,用于对windows下程序进行分析,windbg x86+x64" 从标题和描述中我们可以提取以下关键知识点: - **Windows 内核调试:** Windbg可以用于调试Windows操作系统的核心部分,即内核...
鸿蒙内核源码分析(ELF解析篇) | 内核加载
m0_70748458的博客
06-26 650
ELF,它实在是太重要了,内核加载的就是它,不说清楚它怎么去说清楚应用程序运行的过程呢.看到下面这一坨一坨的,除了.text,.bss,.data听过见过外,其他的咱也没啥交情。
深入理解DbgHelp库的调试与分析功能
最新发布
weixin_36231030的博客
03-11 913
本文还有配套的精品资源,点击获取 简介:DbgHelp库是微软提供的调试工具库,用于程序调试、崩溃分析和符号处理等。该资源包含DbgHelp.h头文件、DbgHelp.lib链接库、DbgHelp.dll动态链接库以及DbgHelp.cpp示例代码,旨在帮助开发者深入理解并应用DbgHelp库在符号获取、崩溃转储、模块和线程信息获取以及调试事件处理等方面的功能。 ...
WIN10 符号表 版本 18383 1082
09-30
只有一部分 目前没用到的函数还没有下载到。ntoskrl ntdll kernelbase kernel32 Wow64cpu 这些基本的DLL符号都有
x64dbg_中文版安装程序(Jun 26 2019).rar
07-01
一、软件说明: 1. x64dbg 是一款开源的、目前仍在积极开发中的 x32/x64 位动态调试器。其界面及操作方法与 OllyDbg 类似,和 OllyDbg 不同的是它可以对 64 位程序进行调试。此外,其开放式的设计给了此软件很强的生命力。通过爱好者们不断的修改和扩充,使其功能越来越强大。 2. 该调试器(目前)有三部分:DBG、GUI、Bridge。 DBG 是调试器的调试部分。它处理调试技术(使用 TitanEngine),并为 GUI 提供数据。 GUI 是调试器的图形部分。它建立在 Qt 上,并提供用户交互界面。 Bridge 是 DBG 和 GUI 部分的通信库(将来也许是在更多的部件之间)。Bridge 可用于在新建功能上工作,而无需更新代码的其他部分。 二、汉化修订说明: 1. 为帮助用户更好地了解 x64dbg 反汇编后的 CPU 汇编指令信息,本次特别对汇编指令的“助记符帮助”和“助记符摘要”进行了汉化。汇编指令的汉化参考了“清华大学出版社”出版的《汇编语言程序设计教程》(第4版) 中术语,因此可能与其他软件的汉化术语略有不同。 2. 对 Scylla 插件等进行了全面汉化。 3. 对 x64dbg 帮助文档的主要内容,按照最新版进行了修订、翻译。对界面字体以及布局重新进行了设置。并将默认调用在线帮助更改为调用本地帮助文件。 4. 对 x64dbg 官方中文版的汉化错误及不一致处进行了修订,并与帮助文档的关键词进行了统一。 5. 对中文版界面字体进行了重新设置,使其更为美观。
dbghelp系列文件
10-26
dbghelp 一系列文件
使用StackWalker类打印当前运行堆栈信息
生活需要深度
09-07 1300
备注:如果需要具体拿到字符串数据,用子类,重写OnOutput函数即可。之前一直找这个找不到,从git上找到了StackWalker类分享。
x64dbg零基础使用教程
热门推荐
hnzwx888的专栏
12-27 1万+
原文网址:https://www.52pojie.cn/thread-762711-1-4.html   这篇文章主要是为.NET逆向但不会x64dbg的同学准备的,文章基本上零基础,会一点c#/vb.net就能看懂文章。文章以visual studio 2017为参照,讲解如何像用vs调试.NET程序集一样使用x64dbg调试本机代码x64dbg下载地址:https://github.com...
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4731
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
X64汇编之指令格式解析
weixin_33767813的博客
07-20 3107
为什么80%的码农都做不了架构师?>>> ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值