Windbg 将地址转换为符号+；抵消_Windbg

Windbg 将地址转换为符号+；抵消

windbg

Windbg 将地址转换为符号+；抵消,windbg,Windbg,在windbg中，有没有办法将地址转换为符号+偏移量例如： ln（列出最近的符号）应该可以做到： 0:000> ln 75da78d7 (75da78c2) USER32!NtUserGetMessage+0x15 | (75da78e2) USER32!GetMessageW ln有时有效，但有时不能返回准确的符号。对于调试，您可以只进行检查，但对于脚本编写来说不是最佳选择。我发现最好的方法是使用u，因为第一行应该包含符号例如，ln返回转换为fffff801\u 1

在windbg中，有没有办法将地址转换为符号+偏移量

例如：

ln

（列出最近的符号）应该可以做到：

0:000> ln 75da78d7 
(75da78c2)   USER32!NtUserGetMessage+0x15   |  (75da78e2)   USER32!GetMessageW

ln

有时有效，但有时不能返回准确的符号。对于调试，您可以只进行检查，但对于脚本编写来说不是最佳选择。我发现最好的方法是使用

，因为第一行应该包含符号

例如，

ln

返回转换为

fffff801\u 1c41000f

的符号，而不是

fffff801\u 1c40f000

：

0: kd> ln nt
(fffff801`1c410010)   nt!IoStartNextPacket+0xffffffff`ffffffff   |  (fffff801`1c41004c)   nt!IopStartNextPacketByKeyEx

0: kd> ? nt!IoStartNextPacket+0xffffffff`ffffffff
Evaluate expression: -8791324033009 = fffff801`1c41000f

返回正确的符号，

nt+0x0

（即使输出是knida卷积的）：

0:kd>u nt L1
新界！IOStartNextPackage（nt+0x0）：
FFFFF 801`1c40f000 4d5a pop r10

0: kd> ln nt
(fffff801`1c410010)   nt!IoStartNextPacket+0xffffffff`ffffffff   |  (fffff801`1c41004c)   nt!IopStartNextPacketByKeyEx

0: kd> ? nt!IoStartNextPacket+0xffffffff`ffffffff
Evaluate expression: -8791324033009 = fffff801`1c41000f

0: kd> u nt L1
nt!IoStartNextPacket <PERF> (nt+0x0):
fffff801`1c40f000 4d5a            pop     r10