[原创] windows内核私有符号结构转储

typedef struct _DEBUG_OBJECT
{
        /* 0x0000 */ struct _KEVENT EventsPresent;
        /* 0x0018 */ struct _FAST_MUTEX Mutex;
        /* 0x0050 */ struct _LIST_ENTRY EventList;
        /* 0x0060 */ unsigned long Flags;
        /* 0x0064 */ long __PADDING__[1];
} DEBUG_OBJECT, *PDEBUG_OBJECT; /* size: 0x0068 */

使用windbg加载私有符号进行验证

同理还有更多结构体被隐藏 他们均不会出现在公共符号中 如果用IDA加载私有符号 则情况如下(IDA伪代码未做任何修改 只是单纯的加载私有NT内核符号)

转储项目来源于pdbex (该项目转储自带部分BUG 对私有符号兼容性有一定问题 所以部分结构可能出现小差错)
如需其他内核驱动模块转储请留言 (github issuse或者此贴当中均可)

该项目github地址:https://github.com/DragonQuestHero/WindowsKernelPrivateSymbolsDump
考虑到可能会有更新的情况 帖子当中就不提供下载了 最终均以github最新版本为准