expriment: 在IDA中补齐已知的Windows定义的参数

实验对象: WDK7600中自带的 nullFilter 工程

这个工程的框架是minifilter, IDA没有识别全, 只将fltXX函数识别出来, 参数中的结构没有识别出来.

加入FltXX标准结构

载入fltXX相关的PDB文件(如果没有载入过fltXX相关的PDB, 插入标准结构体时, 看不到fltXX相关的结构)

在命令输出窗口, 能看到确实载入了一些新的符号.

切到结构体视图

可以看到, IDA结构定义中已经插入了FLT_REGISTRATION结构定义.

现在可以插入工程中需要的fltXX参数定义了~

结构已经定义好了

使用该结构的变量类型已经变成了_FLT_REGISTRATION

将使用该结构的变量改名, 符合变量命令规则.

改名后的效果

该变量的全局定义处， 被IDA自动改了.

对IDA没识别出来的结构参数都修正后, IDA逆向结果清晰多了.