为可执行程序(sys/exe)生成公有调试符号

自Win10推出以来，Windows的更新频度变为每年2次(赶上隔壁Ubuntu的更新节奏了)。每次更新，MS都会提出一堆新要求。对于2018年RS4的更新，MS要求所有提交到WU(Windows Update)的驱动程序，除了要提供驱动包本身，还需要额外提供公有调试符号。哎，我只能默默的叹口气，然后照做了...

生成公有调试符号有2种形式：1.编译链接过程中生成；2.从私有调试符号文件中剥离生成。下面我们将分类讨论。

1.编译链接过程中生成

工程属性-Linker-Command Line-Additional Options 增加选项/PDBSTRIPPED:event.pdb

event.pdb需要替换成你要生成的公有符号名.

2.从私有调试符号中剥离

你可能会问，既然编译器有办法直接生成公有符号，为什么还要考虑这种方式？额，有时候，某个sys文件已经过了HLK测试并获得Logo，如果再次改动，需要重新进行HLK测试。对于这种情况就得用到下面即将提到的工具

虽然，多数文档建议用binplace工具剥离私有调试符号，不过我从来没有成功过。作为替换，我使用windbg目录下pdbcopy.exe命令来生成私有符号。命令格式如下：

pdbcopy privatesymbols.pdb publicsymbols.pdb -p

参数1是由Visual Studio生成的调试符号，这个符号是所谓的私有符号；参数2指定由pdbcopy生成的公有符号名。

例如，下列命令将为C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.pdb生成公有调试符号：

C:\Program Files (x86)\Windows Kits\10\Debuggers\x86>pdbcopy.exe \
C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.pdb \
C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event_pub.pdb -p

这样就会生成公有符号，如下图:

3.验证符号

对于用上面方法生成的调试符号，我们不知正确与否，这时就要用到windbg目录下的另一个工具：symchk.exe来验证，其语法为：

symchk.exe /v filename /s sympath

参数1指向二进制文件的全路径，参数2指向包含调试符号的文件夹路径。在验证符号前需要为公有调试符号改名，否则symchk会提示找不到符号文件。比如，上面pdbcopy生成的公有符号名为event_pub.pdb，需要重新改为event.pdb。完成后即可检查调试符号，如我是如此检查前面用pdbcopy生成的符号：

symchk.exe /v \
C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.sys /s \
C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386

对于公有调试符号，symchk的输出可能如下:

DBGHELP: C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.sys - OK
DBGHELP: event - public symbolsC:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.pdb

对于私有调试符号，symchk的输出可能如下:

DBGHELP: C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.sys - OK
DBGHELP: event - private symbols & linesC:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386\event.pdb

当然，也可以用windbg验证符号是否为公有符号，并且和二进制文件匹配：

kd> .sympath+ C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386 ;先设置调试符号路径
Symbol search path is: srv*;C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386
Expanded Symbol search path is: SRV*C:\sym\w7RTMx86*c:\users\jiangminghua\desktop\event\wdm\objchk_wxp_x86\i386************* Symbol Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       srv*
OK                                             C:\Users\jiangminghua\Desktop\event\wdm\objchk_wxp_x86\i386
kd> .reload

加载驱动后，用lm m 和!itoldyouso验证符号：

kd> lm m event
Browse full module list
start    end        module name
918bb000 918bd900   event      (private pdb symbols) ;这是私有符号 c:\users\jiangminghua\desktop\event\wdm\objchk_wxp_x86\i386\event.pdbUnable to enumerate user-mode unloaded modules, Win32 error 0n30
kd> !itoldyouso event ;该符号有二进制文件匹配event.sysTimestamp: 5A20EBF6SizeOfImage: 2900pdb: c:\winddk\7600.16385.1\src\general\event\wdm\objchk_wxp_x86\i386\event.pdbpdb sig: C78FF21D-C5AE-49E3-8E51-18CD585960D7age: 1Loaded pdb is c:\users\jiangminghua\desktop\event\wdm\objchk_wxp_x86\i386\event.pdbevent.pdbpdb sig: C78FF21D-C5AE-49E3-8E51-18CD585960D7age: 1MATCH: event.pdb and event.sys

为了验证公有符号，无重新加载驱动(需要将event_pub.pdb改名为event.pdb)，只要如下操作:

kd> .reload /u event ;卸载私有符号
Unloaded event
kd> .reload /f event.sys ;重新加载公有符号
kd> ld event
Symbols already loaded for event
kd> lm m event
Browse full module list
start    end        module name
918bb000 918bd900   event      (pdb symbols) ;此时,括号中没有private这样的词眼    c:\users\jiangminghua\desktop\event\wdm\objchk_wxp_x86\i386\event.pdbUnable to enumerate user-mode unloaded modules, Win32 error 0n30
kd> !itoldyouso eventevent.sysTimestamp: 5A20EBF6SizeOfImage: 2900pdb: c:\winddk\7600.16385.1\src\general\event\wdm\objchk_wxp_x86\i386\event.pdbpdb sig: C78FF21D-C5AE-49E3-8E51-18CD585960D7age: 1Loaded pdb is c:\users\jiangminghua\desktop\event\wdm\objchk_wxp_x86\i386\event.pdbevent.pdbpdb sig: C78FF21D-C5AE-49E3-8E51-18CD585960D7age: 1MATCH: event.pdb and event.sys

参考：

Using PDBCopy

Using SymChk