Windows équivalent de System.map?

Question

J'effectue une analyse dynamique sur une machine virtuelle Windows dans QEMU. Je voudrais rechercher quelle fonction est actuellement en cours d'exécution dans le système d'exploitation invité basé sur EIP (je veux juste avoir une idée de ce que fait le système d'exploitation).

Existe-t-il un équivalent de System.map pour Windows? Lorsque je fais une tâche similaire sous Linux, c'est ce que j'utilise généralement. Je connais les paquets de symboles Windows, mais j'essaie de comprendre comment faire cela sans utiliser deux machines virtuelles Windows car je n'ai pas besoin d'informations de débogage complètes, juste des adresses de fonction.

J'utilise actuellement Windows 7

Answer 1

Après de longues recherches, je ne pus trouver cet équivalent ou un logiciel qui fournira un.

Je fourchue un exemple et générer maintenant le fichier que je suis à la recherche: https://github.com/zestrada/Dia2Dump_nm

Il utilise le SDK Microsoft DIA https://msdn.microsoft.com/en-us/library/x93ctkx8.aspx pour analyser un fichier PDB pour le noyau, ntkrnlmp.pdb (disponible: https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx)