[分享] 全版本 ntoskrnl 任意函数 offset 打包提取/工具

kphtools 是一套自动化工具链，能从 Microsoft 符号服务器自动下载各版本 ntoskrnl.exe 及其 PDB，解析符号、提取结构体偏移与函数地址，最终一键导出为 SystemInformer 的 kphdyn.xml

Why not 联网查询?

来你给我个能查询全版本未导出函数RVA的网站

Why not signature?
如果你用过 Windows 内核的某些未导出函数/变量/结构，一定深有体会：

手动维护特征码，会出现某些版本特征码失效的情况，有时候想稳定在全版本windows上定位一个函数甚至需要114514个特征码，这谁受得了。

kphtools 直接一劳永逸地为每一个版本的ntos维护一个offset合集
Microsoft Symbol Server
↓ 自动下载 PE + PDB
符号解析（YAML 中间产物）
↓ 结构体偏移 / 函数RVA / 变量RVA
导出 kphdyn.xml
↓
喂给SystemInformer工具链 或者 一↑秒钟写一段代码之：帮我写一个函数，从kphdyn.xml中根据当前ntoskrnl.exe版本加载特定的offset

Why SystemInformer / why kph?

谁爱造轮子谁造，我反正不造，有开源的生态不用白不用


核心能力一览


能力
说明


自动下载 PE & PDB
从 Microsoft 符号服务器按 kphdyn.xml 中的条目，批量下载指定架构、指定版本的 ntoskrnl 二进制及符号文件


符号解析 & YAML 导出
将 PDB 符号解析为结构化 YAML，方便后续使用


LLM 辅助反编译
支持接入大模型，辅助分析未导出函数逻辑，自动提取未命名的函数调用/全局变量。结构体偏移


IDA Pro 集成
联动 IDA（通过 idalib-mcp）生成参考反汇编，函数 VA、反编译伪代码一并归档


一键导出 XML
update_symbols.py 将 YAML 产物合并导出为标准 kphdyn.xml，缺失项自动填 0xffff / 0xffffffff


上传服务器
内置 HTTP 服务器，支持从用户那里搜集 ntoskrnl 文件，自动校验 PE 签名、自动归档存储


CI/CD 友好
提供完整 Jenkins Pipeline / Github Actino Runner 参考，首次运行约数小时，后续增量更新仅需约 10 分钟

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291110.htm

前排支持

点个赞

好人一生平安

wx_御史神风

好人一生平安
我知道明天要上班了，可是也没必要睡这么早吧（逃

强烈支持

强烈支持

支持

SystemInformer  是啥  ai工具吗?

有没有大佬带下小白

表哥666666