符号不匹配，ida/windbg

Question

最近我想了解更多有关Windows内核的知识。我下载了正确的符号 对于我的系统（win7 x64 免费）。我运行 IDA 并打开 ntoskrnl.exe。 IDA询问是否附加pdb文件。但大多数功能都没有解决 - sub_XXXXXX。所以我运行了 Windbg，我解开了随机选择的函数，该函数必须位于 ntoskrnl - KiSystemCall64 中。它显示输出。 但IDA中没有这个功能（或者没有解决）。总而言之，使用相同的符号，在 WinDBg 中未汇编的函数在 IDA 中不会被解析（没有它们的符号）（反之亦然）。 我将不胜感激您的任何帮助和建议。

Answer 1

您在加载符号后是否分析了该模块？在“模块”窗口中，右键单击内核并选择“加载调试符号”。完成后，再次右键单击该模块并选择“分析模块”。

-斯科特