分享+记录 获取windows符号文件的方式。

由于新版的windows系统已不提供单独的符号下载，windbg下载符号文件也时常失败。
这里我们借用微软提供的工具包中的symchk.exe下载符号文件。
symchk.exe 所在路径：C:\Program Files (x86)\Windows Kits\10\Debuggers\x64 与 windbg.exe 在同一路径下。

SymChk的基本语法如下：

FileNames指定一个或多个需要其符号的程序文件。如果FileNames是目录并且使用/ r标志，则将以递归方式浏览该目录，SymChk将尝试在此目录树中查找所有程序文件的符号。SymbolPath指定SymChk在何处搜索符号。
要限制搜索以使其仅查找公共符号文件，请使用带有/ s参数（/ ss）的s选项。

用法示例：

我详细解释每个参数的意思：
D:\resource\IDA内核函数符号文件\Ntoskrnl\10.0.19041\ntoskrnl.exe 是我需要下载其符号文件的exe所在路径；
SRVD:\resource\IDA内核函数符号文件\Ntoskrnl\10.0.19041\d22K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3I4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6V1L8%4N6F1L8r3!0S2k6q4)9J5c8Y4y4&6L8h3u0G2L8s2x3`.
指定符号服务器为3a8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3I4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6V1L8%4N6F1L8r3!0S2k6q4)9J5c8Y4y4&6L8h3u0G2L8s2y4Q4c8f1k6Q4b7V1y4Q4z5p5x3`.
并将下载的符号文件保存至D:\resource\IDA内核函数符号文件\Ntoskrnl\10.0.19041\路径下；

如果需要获取一个目录下所有的程序文件其的符号文件，例如：

将下载c:\windows\system32下的所有程序文件的符号文件，用时较久。

下载好符号文件以后，我们用IDA打开分析对应的程序文件时，如果提示：
failed to load pdb info,no such interface supported.（无法加载pdb信息，不支持此类接口）
安装vc ++ 2008 运行库，即可解决问题。
下载VC++ 2008 运行库

本文参考：
ba1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8$3y4K6i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6h3&6Q4x3X3c8#2M7#2)9J5c8Y4N6A6L8X3c8G2N6%4y4Q4x3X3c8Z5j5i4u0V1N6$3q4J5k6g2)9J5c8X3c8J5K9i4k6W2M7Y4y4Q4x3V1k6V1k6h3u0#2k6$3N6W2M7W2)9J5c8Y4g2K6K9h3&6Y4i4K6u0V1M7%4W2E0j5$3S2C8

上传了两个附件
vcredist_x64.exe 为 vc ++ 2008 运行库 的安装文件；
win10.19041程序文件+符号文件.zip 中包含了 win10 2004 最新的 ntoskrnl.exe 与其符号文件。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！