本文2015-11-29原發於http://blog.zhongts.com/
PDB是微軟的調試信息格式,由VS生成,方便源碼調試。PDB文件中包含了變量、函數、類型、源碼行號等信息,用VS(或者Windbg等調試器)調試二進制時,在源代碼上下斷點、源碼單步、顯示變量值等功能都需要有PDB文件。
本文提供的dumppdb工具能解析PDB文件,輸出里面的類型信息,如結構體定義。抽出里面的類型定義導入IDA逆向更方便。寫程序時也可能用到這些類型定義。
指定要解析的PDB文件名,運行dumppdb,輸出重定向到文本文件中
下面顯示的就是ntdll.pdb中的KPROCESS結構體定義
如果PDB中有類,也能顯示相關定義
下載:dumppdb_1.1.2.7z
SHA1:20d018a1525147fcff4d127fab677f94969e5590