0x00 前言
在使用windbg调试windows中的程序时会经常碰到一些系统的dll里面的一些函数调用,有些函数是没有具体函数名的,这对于调试非常不利,基于此,微软针对windows也发布了很多系统dll对应的符号表,这些符号表如今基本集成在了微软的符号表服务器中,本文简单讲一下如何在windbg中加载符号表。
0x01 配置符号表
首先给一个最常用的方式,要做的工作基本就是先在本地指定的文件目录搜索对应的符号表,如果找不到就连接远程服务器下载,并保存在本地,方便下次使用,如下
.sympath srv*c:Symbols*https://msdl.microsoft.com/download/symbols
这是对于没有符号表的情况,如果本地本来就有符号表的缓存,但是考虑到windows版本等问题,相同的符号表会不会覆盖等情况,建议使用下面的方法从远程加载新的符号表为本次调试使用
.sympath c:MyRegularSymbols;srv*c:MyServerSymbols*https://msdl.microsoft.com/download/symbols
顺利的话在加载完符号表以后需要重新载入模块,命令如下:
.reload
0x02 管理符号表
当调试的东西很多,符号表越来越大的时候,可以使用agestore来管理不常用的符号表,下面举几个例子。
以下命令删除C:MyDir中2008年1月7日之前访问的文件:
agestore c:mydir -date=01-07-2008
以下命令将删除目录树中从属于C:symbolsdownstreamstore的所有文件,这些文件在30天内没有访问:
agestore c:symbolsdownstreamstore -days=30 -s
以下命令删除从属于C:symbolsdownstreamstore目录树中大于50,000字节的文件:
agestore c:symbolsdownstreamstore -size=50000 -s
更多的内容可以参考微软官方的文档
0x03 一些问题
符号表设置以后没法加载,或加载失败?
首先检查本地是否真的有网,没问题的话,考虑科学的上网或许可以加速下载,如果还不行,可能就是符号表服务器的问题,这类问题已经多次了。
另外,在排查问题的时候可以尝试使用!sym noisy命令,实时输出调试器加载符号表时候的信息。先运行!sym noisy再运行.reload。