我正在 VmWare 安装的 Windows 10 企业版（x64 版本 1607 内部版本 14393.447）上进行内核调试。我使用带有 WinDbg 插件的 Ida Pro 6.6。在我的主机上，我有相同的操作系统，安装了 WINdows 10 的调试工具。当我连接到目标机器时，除了 win32 系统（ win32k.sys/win32kbase.sys/win32kfull.sys ）之外，所有符号都正确加载。我在我的用户环境变量中定义了符号，如下所示：

_NT_SYMBOL_PATH=srv*c:\symbols*https://msdl.microsoft.com/download/symbols

当我在 Ida 模块菜单中选择加载符号时，我得到以下输出：

WINDBG>!sym noisy
noisy mode - symbol prompts on

Trying loadDataForExe with 14000000
loadDataForExe: 806d0012
Trying loadDataForExe with ffffffff
loadDataForExe: 806d0005
PDB: could not process file \SystemRoot\System32\win32kbase.sys with DIA: Failed to open the file, or the file has an invalid format (E_PDB_NOT_FOUND)

Trying loadDataForExe with 13dd0000
loadDataForExe: 806d0012
Trying loadDataForExe with ffffffff
loadDataForExe: 806d0005
PDB: could not process file \SystemRoot\System32\win32k.sys with DIA: Failed to open the file, or the file has an invalid format (E_PDB_NOT_FOUND)

Trying loadDataForExe with 14960000
loadDataForExe: 806d0012
Trying loadDataForExe with ffffffff
loadDataForExe: 806d0005
PDB: could not process file \SystemRoot\System32\win32kfull.sys with DIA: Failed to open the file, or the file has an invalid format (E_PDB_NOT_FOUND)

lmi输出：

WINDBG>!lmi win32kbase
Loaded Module Info: [win32kbase] 
Cannot read Image header @ ffff81ce14000000
Load Report: export symbols

WINDBG>!lmi win32k
Loaded Module Info: [win32k] 
Cannot read Image header @ ffff81ce13dd0000
Load Report: public symbols , not source indexed 
                     c:\symbols\win32k.pdb\0383A6141581403B9E8426F05328D45F1\win32k.pdb

WINDBG>!lmi win32kfull
Loaded Module Info: [win32kfull] 
Cannot read Image header @ ffff81ce14960000
    Load Report: public symbols , not source indexed 
                 c:\symbols\win32kfull.pdb\A792B492035540D397D66128F30037B01\win32kfull.pdb

这一切都是真的很烦，因为有时候符号只是加载正确的，我不知道什么这个要看，我发现一个类似主题谷歌在这里，他们有同样的问题，但与转储。这真的是一个很烦人的问题，也许有人有同样的问题，试图对 win32k 子系统进行一些逆向工程，并且可以帮助我。