PDB (Program Database) - 程序数据库文件
├── 由微软编译器 (MSVC) 生成
├── 包含调试符号信息
├── 与PE文件 (EXE/DLL) 配套存在
└── 扩展名: .pdb未加载PDB:
; 函数名全是地址或自动命名
sub_140001000:
sub_140002A30:
sub_14000FF20:
nullsub_1:加载PDB后:
; 显示真实函数名
WinMain:
CreateWindowExW:
MessageBoxA:
HeapAlloc:
MyClass::DoSomething:未加载PDB:
int __cdecl sub_140001000(int a1, int a2, int a3)
{
int v4;
int v5;
char v6[256];
v4 = a1 + a2;
v5 = *(_DWORD *)(a3 + 8);
// ...
}加载PDB后:
int __cdecl ProcessUserInput(HWND hWnd, UINT uMsg, LPARAM lParam)
{
int result;
int errorCode;
char szBuffer[256];
result = hWnd + uMsg;
errorCode = *(_DWORD *)(lParam + 8);
// ...
}未加载PDB:
// 结构体完全未知
struct_0 *v1;
v1->field_0 = 1;
v1->field_8 = 0;
*(DWORD*)(v1 + 0x10) = 0xFF;加载PDB后:
// 结构体字段有名称和类型
PROCESS_INFORMATION *procInfo;
procInfo->hProcess = 1;
procInfo->hThread = 0;
procInfo->dwProcessId = 0xFF;未加载PDB:
函数名 大小
sub_140001000 0x2A0
sub_140002A30 0x180
sub_14000FF20 0x50
sub_14001234A 0x300
... (全是sub_xxxx)加载PDB后:
函数名 大小
WinMain 0x2A0
InitializeApplication 0x180
CleanupResources 0x50
ProcessNetworkPacket 0x300
... (真实函数名)未加载PDB:
// 全局变量无意义名称
dword_14003A000 = 1;
qword_14003A008 = 0;
byte_14003A010 = 0xFF;
unk_14003A020 = some_value;加载PDB后:
// 有实际含义的变量名
g_isInitialized = 1;
g_applicationHandle = 0;
g_errorCode = 0xFF;
g_configSettings = some_value;未加载PDB:
// 看不出面向对象结构
sub_140001000(v1, 1, 2);
sub_140002000(v1);
sub_140003000(v1, "hello");加载PDB后:
// 清晰显示类方法
MyServer::Initialize(this, 1, 2);
MyServer::Start(this);
MyServer::SendMessage(this, "hello");未加载PDB:
; 无源码信息
.text:0000000140001000 push rbp
.text:0000000140001001 mov rbp, rsp加载PDB后:
; 显示源文件和行号
; main.cpp, line 42
.text:0000000140001000 push rbp
.text:0000000140001001 mov rbp, rsp未加载PDB:
if (v1 == 3) // 3 是什么?不知道
sub_xxxx(0x2); // 0x2 代表什么?加载PDB后:
if (status == STATUS_RUNNING) // 清晰的枚举名
SetPriority(PRIORITY_HIGH); // 有意义的常量| 视图 | 未加载PDB | 加载PDB后 |
|---|---|---|
| 反汇编视图 | sub_xxxxxxx | 真实函数名 |
| 伪代码(F5) | a1, a2, v1, v2 | 参数/变量真实名 |
| Functions窗口 | 全是sub_ | 真实函数名 |
| Names窗口 | 极少标签 | 大量符号 |
| 结构体 | 无或不完整 | 完整字段名和类型 |
| 源码行号 | 无 | 有 (对应源文件行) |
| 注释 | 无 | 自动添加类型注释 |
| 交叉引用 | 地址引用 | 函数名引用 |
PDB文件内容
├── 公共符号 (Public Symbols)
│ ├── 导出函数名
│ └── 全局变量名
│
├── 私有符号 (Private Symbols) ← 完整PDB才有
│ ├── 所有函数名 (包括内部函数)
│ ├── 局部变量名
│ ├── 参数名
│ ├── 内联函数信息
│ └── 源文件路径和行号
│
├── 类型信息 (Type Information)
│ ├── 结构体定义
│ ├── 类定义
│ ├── 枚举定义
│ └── typedef
│
└── FPO数据 (帧指针优化信息)
└── 用于正确解析调用栈完整PDB (Full PDB) 公共PDB (Public PDB)
├── 私有符号 ✓ ├── 私有符号 ✗
├── 局部变量名 ✓ ├── 局部变量名 ✗
├── 源码行号 ✓ ├── 源码行号 ✗
├── 类型信息 ✓ ├── 类型信息 ✗ (部分)
└── 通常不对外发布 └── 微软公开服务器提供微软符号服务器 (公共PDB):
https://msdl.microsoft.com/download/symbols可以获取 Windows 系统DLL 的公共符号
无PDB时:
__int64 __fastcall sub_140003A20(__int64 a1, __int64 a2, int a3)
{
int v3;
int v4;
__int64 v5;
v3 = *(_DWORD *)a1;
v4 = sub_140001000(a2, a3);
v5 = sub_140002000(v3, v4);
return sub_140003000(v5, *(_QWORD *)(a1 + 8));
}
// 完全不知道在做什么有PDB时:
__int64 __fastcall AES_Encrypt(AES_CTX *ctx, BYTE *plaintext, int length)
{
int keySize;
int paddedLength;
__int64 encryptedBlock;
keySize = ctx->keyLength;
paddedLength = PKCS7_Pad(plaintext, length);
encryptedBlock = AES_EncryptBlock(keySize, paddedLength);
return AES_CBC_Chain(encryptedBlock, ctx->iv);
}
// 一目了然:AES CBC模式加密方法一:自动加载
IDA启动时自动寻找同名PDB文件
方法二:手动加载
File → Load File → PDB File
方法三:配置符号服务器
Options → Debugger → Set specific options
_NT_SYMBOL_PATH = srv*C:\Symbols*https://msdl.microsoft.com/download/symbols
方法四:命令行
idat64.exe -pdb:file.pdb target.exe加载PDB的核心价值:
未加载 加载后
─────────────────────────────────────────
sub_140001000 → WinMain
a1, a2, v3 → hWnd, uMsg, lParam
field_0x8 → ProcessId
0x00000003 → STATUS_RUNNING
数小时猜测 → 立即理解代码逻辑
逆向效率提升:普通代码可提升 3~10倍⚠️ 注意:
- 商业软件通常不会发布PDB,需要自己重建
- Release版本PDB可能经过优化,信息不如Debug版完整
- 获取他人PDB用于破解可能违反法律协议
免责声明 本文档所有内容仅供安全研究、学术交流与技术学习使用,严禁用于任何未经授权的逆向破解、网络攻击、隐私窃取、恶意软件开发及其他违反《中华人民共和国网络安全法》《数据安全法》等法律法规的行为,使用者应确保已获得目标软件权利人的合法授权并自行承担因使用本文档内容所产生的一切法律责任与后果,作者不对任何直接或间接损害承担任何责任,继续阅读即视为您已知悉并同意上述全部条款。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。