符号不匹配，ida/windbg

Question

最近，我试图学习更多关于Windows内核的知识。我为我的sys(win7 x64免费)下载了正确的符号。我运行IDA并打开ntoskrnl.exe。IDA询问是否附加pdb文件。但是大多数功能都没有被解析- sub_XXXXXX。所以我运行了Windbg，我解开了随机选择的函数，它必须在ntoskrnl - KiSystemCall64中。它会显示输出。但是在IDA中没有这样的函数(或者它没有被解决)。总之，使用相同的符号，在WinDBg中未汇编的函数在IDA中不会被解析(没有符号)(反之亦然)。我将非常感谢您的任何帮助和建议。

Answer 1

在为模块加载符号后，您是否分析了该模块？在Modules窗口中，右击内核并选择"Load debug symbols“。完成后，再次右键单击该模块并选择"Analyze module“。

-scott