本文之前發表的時候有些問題，作為強迫癥患者的我又重新編輯后再次發表。如果您已經看過，請忽略。望見諒。

緣起

最近想借助IDA逆向一個函數。在windows下，調試器(比如vs, windbg)可以通過調試符號(PDB)把地址與符號名對應起來，為我們提供更可讀的信息。IDA應該也支持加載PDB，通過查看IDA安裝目錄下的idahelp.chm(打開后搜索PDB即可找到相關說明)發現還真支持。但是當我加載符號的時候，卻失敗了。本文記錄了整個調查過程。

效果對比

先放兩張對比圖，大家直觀感受下區別。

沒有調試符號的幫助的情況下，我們看到的效果：

有了調試符號的幫助的情況下，我們看到的效果：

可見，有了調試符號的幫助，我們可以更直觀的看到某個地址對應的函數名，可以更好的理解反匯編代碼。但是我們在IDA中該如何設置呢？

為 IDA 加載符號

• 首先，確認.\cfg\pdb.cfg存在，并且配置是正確的。一般，對IDA默認的配置文件 ，我們只需要放開PDBSYM_SYMPATH前面的注釋即可。為了保險，請確保對應的路徑(c:\symbols)是存在的。

// PDB plugin// PDB information provider#define PDB_PROVIDER_MSDIA 1 // use MSDIA local/remote provider#define PDB_PROVIDER_PDBIDA 2 // use PDBIDA provider//PDB_PROVIDER = PDB_PROVIDER_PDBIDA// The downloaded symbols are stored in the specified directory.// Microsoft's public symbol store is used for downloading the symbols.//// If this option is omitted or empty - use _NT_SYMBOL_PATH if set, otherwise use %TEMP%\ida directory// If the value is not empty - use it//PDBSYM_DOWNLOAD_PATH = "c:\\symbols";// Full symbol path (in _NT_SYMBOL_PATH format)// If set, PDBSYM_DOWNLOAD_PATH and _NT_SYMBOL_PATH are ignored// BCN: uncomment line below to configure symbol path//PDBSYM_SYMPATH = "SRV*c:\\symbols*http://symbols.mozilla.org/firefox;SRV*c:\\symbols*http://msdl.microsoft.com/download/symbols";// remote server where win32_remote.exe is running// used when loading PDB symbols on non-Windows platforms// NB: it will be used only if there is not already an existing debugging session startedPDB_REMOTE_SERVER = "localhost";PDB_REMOTE_PORT = 23946// password for the remote serverPDB_REMOTE_PASSWD = "";

說明：如果配置了_NT_SYMBOL_PATH，那么不用修改該文件。強烈建議設置環境變量_NT_SYMBOL_PATH。真正做到了一次設置，到處適用。

• 配置好后，通過File - Load file - PDB file...來加載pdb。

我就是在這里遇到錯誤了，錯誤提示如下圖：

IDA提示我們錯誤有三種可能。

當前加載的程序不是一個合法的Windows PE文件。直接排除。

PDB Plugin不在plugin目錄下。有可能，但是PDB Plugin的名稱是什么？不清楚，待調查。

系統中的dbghelp.dll文件太舊了。哪個版本的dbghelp.dll算新？不清楚，待調查。

上面第二種和第三種情況都有可能，但是根本原因是哪個需要進一步調查。這時候該本文的主角process monitor閃亮登場啦！

調查

打開process monitor，開始捕獲事件。然后在IDA中執行File - Load file - PDB file...加載pdb，等到上面的錯誤框彈出來后，停止捕獲事件。

我們主要關注IDA的文件讀寫事件，而且應該是找不到某個dll文件，所以我們關心Result不是SUCCESS的事件。根據以上條件進行過濾，很快就得到了我們感興趣的事件。看來我遇到的情況是找不到plugin\pdb64.dll。從別處拷貝一個pdb64.dll到plugin目錄下，搞定。so fast! pretty good!

下面放一張我錄制的GIF，大家感受下！

總結

process monitor真的是排查問題的神兵利器，前提是要善用過濾，如果用不好過濾，對我們的幫助有限。

參考資料

• Process Monitor
• 《Windows Sysinternals 實戰指南》
• IDA 幫助文檔

猜你喜歡：

[原]排錯實戰——使用process explorer替換任務管理器

[原]排錯實戰——VS清空最近打開的工程記錄

[原]排錯實戰——通過對比分析sysinternals事件修復程序功能異常

歡迎留言交流

總結

以上是生活随笔為你收集整理的vba vbscript.regexp加载dll错误_[原]排错实战——拯救加载调试符号失败的IDA的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。