none
Win10下windbg x86的ntdll.dll的符号问题 RRS feed

  • 问题

  • 无法使用!heap命令了,结果返回invalid type information。

    试过无数次.symfix .reload。更改过无数次符号路径,是不是Microsoft官方符号服务器出问题了?

    以下是Windbg x86加载的Module,可以看到ntdll的timestamp是invalid的:

    ntdll 4b280000 4b41a000 Invalid (e71843c4) 

    KERNELBASE 76050000 7624c000 Mon Sep 28 18:26:18 2026 (6aba40ca) 002004c1 C:\WINDOWS\System32\KERNELBASE.dll
    KERNEL32 76800000 768e0000 Fri Jul 27 09:33:32 2035 (7b5427ec) 000a5f05 C:\WINDOWS\System32\KERNEL32.DLL
    在windbg x64下可以正常使用!heap命令,但是一旦切换到x86 !heap直接挂掉,无法使用,ntdll符号文件有问题,怎么解决?

    0:000> lmDvmntdll

    Browse full module list

    start    end        module name

    4b280000 4b41a000   ntdll      (pdb symbols)          c:\mss\wntdll.pdb\4B0FD8CB53640E274789D776E9DB552C1\wntdll.pdb

        Loaded symbol image file: ntdll.dll

        Mapped memory image file: c:\mss\ntdll.dll\E71843C419a000\ntdll.dll

        Image path: ntdll.dll

        Image name: ntdll.dll

        Browse all global symbols  functions  data

        Image was built with /Brepro flag.

        Timestamp:        E71843C4 (This is a reproducible build file hash, not a timestamp)

        CheckSum:         0019A3DD

        ImageSize:        0019A000

        File version:     10.0.18362.329

        Product version:  10.0.18362.329

        File flags:       0 (Mask 3F)

        File OS:          40004 NT Win32

        File type:        2.0 Dll

        File date:        00000000.00000000

        Translations:     0409.04b0

        Information from resource tables:

            CompanyName:      Microsoft Corporation

            ProductName:      Microsoft® Windows® Operating System

            InternalName:     ntdll.dll

            OriginalFilename: ntdll.dll

            ProductVersion:   10.0.18362.329

            FileVersion:      10.0.18362.329 (WinBuild.160101.0800)

            FileDescription:  NT Layer DLL

            LegalCopyright:   © Microsoft Corporation. All rights reserved.

    以上是查看ntdll模块的结果。

    2019年9月6日 2:02