本文之前發(fā)表的時候有些問題，作為強迫癥患者的我又重新編輯后再次發(fā)表。如果您已經(jīng)看過，請忽略。望見諒。

緣起

最近想借助IDA逆向一個函數(shù)。在windows下，調(diào)試器(比如vs, windbg)可以通過調(diào)試符號(PDB)把地址與符號名對應(yīng)起來，為我們提供更可讀的信息。IDA應(yīng)該也支持加載PDB，通過查看IDA安裝目錄下的idahelp.chm(打開后搜索PDB即可找到相關(guān)說明)發(fā)現(xiàn)還真支持。但是當(dāng)我加載符號的時候，卻失敗了。本文記錄了整個調(diào)查過程。

效果對比

先放兩張對比圖，大家直觀感受下區(qū)別。

沒有調(diào)試符號的幫助的情況下，我們看到的效果：

有了調(diào)試符號的幫助的情況下，我們看到的效果：

可見，有了調(diào)試符號的幫助，我們可以更直觀的看到某個地址對應(yīng)的函數(shù)名，可以更好的理解反匯編代碼。但是我們在IDA中該如何設(shè)置呢？

為 IDA 加載符號

• 首先，確認(rèn).\cfg\pdb.cfg存在，并且配置是正確的。一般，對IDA默認(rèn)的配置文件 ，我們只需要放開PDBSYM_SYMPATH前面的注釋即可。為了保險，請確保對應(yīng)的路徑(c:\symbols)是存在的。

// PDB plugin// PDB information provider#define PDB_PROVIDER_MSDIA 1 // use MSDIA local/remote provider#define PDB_PROVIDER_PDBIDA 2 // use PDBIDA provider//PDB_PROVIDER = PDB_PROVIDER_PDBIDA// The downloaded symbols are stored in the specified directory.// Microsoft's public symbol store is used for downloading the symbols.//// If this option is omitted or empty - use _NT_SYMBOL_PATH if set, otherwise use %TEMP%\ida directory// If the value is not empty - use it//PDBSYM_DOWNLOAD_PATH = "c:\\symbols";// Full symbol path (in _NT_SYMBOL_PATH format)// If set, PDBSYM_DOWNLOAD_PATH and _NT_SYMBOL_PATH are ignored// BCN: uncomment line below to configure symbol path//PDBSYM_SYMPATH = "SRV*c:\\symbols*http://symbols.mozilla.org/firefox;SRV*c:\\symbols*http://msdl.microsoft.com/download/symbols";// remote server where win32_remote.exe is running// used when loading PDB symbols on non-Windows platforms// NB: it will be used only if there is not already an existing debugging session startedPDB_REMOTE_SERVER = "localhost";PDB_REMOTE_PORT = 23946// password for the remote serverPDB_REMOTE_PASSWD = "";

說明：如果配置了_NT_SYMBOL_PATH，那么不用修改該文件。強烈建議設(shè)置環(huán)境變量_NT_SYMBOL_PATH。真正做到了一次設(shè)置，到處適用。

• 配置好后，通過File - Load file - PDB file...來加載pdb。

我就是在這里遇到錯誤了，錯誤提示如下圖：

IDA提示我們錯誤有三種可能。

當(dāng)前加載的程序不是一個合法的Windows PE文件。直接排除。

PDB Plugin不在plugin目錄下。有可能，但是PDB Plugin的名稱是什么？不清楚，待調(diào)查。

系統(tǒng)中的dbghelp.dll文件太舊了。哪個版本的dbghelp.dll算新？不清楚，待調(diào)查。

上面第二種和第三種情況都有可能，但是根本原因是哪個需要進(jìn)一步調(diào)查。這時候該本文的主角process monitor閃亮登場啦！

調(diào)查

打開process monitor，開始捕獲事件。然后在IDA中執(zhí)行File - Load file - PDB file...加載pdb，等到上面的錯誤框彈出來后，停止捕獲事件。

我們主要關(guān)注IDA的文件讀寫事件，而且應(yīng)該是找不到某個dll文件，所以我們關(guān)心Result不是SUCCESS的事件。根據(jù)以上條件進(jìn)行過濾，很快就得到了我們感興趣的事件。看來我遇到的情況是找不到plugin\pdb64.dll。從別處拷貝一個pdb64.dll到plugin目錄下，搞定。so fast! pretty good!

下面放一張我錄制的GIF，大家感受下！

總結(jié)

process monitor真的是排查問題的神兵利器，前提是要善用過濾，如果用不好過濾，對我們的幫助有限。

參考資料

• Process Monitor
• 《Windows Sysinternals 實戰(zhàn)指南》
• IDA 幫助文檔

猜你喜歡：

[原]排錯實戰(zhàn)——使用process explorer替換任務(wù)管理器

[原]排錯實戰(zhàn)——VS清空最近打開的工程記錄

[原]排錯實戰(zhàn)——通過對比分析sysinternals事件修復(fù)程序功能異常

歡迎留言交流

總結(jié)

以上是生活随笔為你收集整理的vba vbscript.regexp加载dll错误_[原]排错实战——拯救加载调试符号失败的IDA的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。