首页
论坛
课程
招聘
[原创]x64dbg入门:解惑篇
2020-6-5 17:21 19661

[原创]x64dbg入门:解惑篇

2020-6-5 17:21
19661

记录更新时间:2021年3月10日
一问一答,学海无涯
此贴记录使用x64dbg调试软件出现的问题,以及解决办法,帮助伙伴们快速入手这款调试工具

目录

问题:如何查看最近调试了那些程序,其配置信息保存在那里

  • 已解决,可点击文件-最近打开的文件查询,可在配置 INI 文件的 Recent Files 段中找到
    图片描述
    注意:步显示无法调试的文件,例如调试123.exe时告知此程序无法调试,之后你在最近打开的文件查询中是查询不到的

问题:x64dbg如何安装插件

  • 已解决,将下载好的插件copy到plugins文件夹
    图片描述
    注意:x64dbg解压完毕不会出现该文件夹,需运行对应位数的行x64dbg之后才会在其对应的位数目录生成该文件夹,插件有位数区别,切记copy到对应的目录
    举例
1
32位:将 x32\plugins 目录下的文件复制\x64dbg\release\x32\plugins目录。

图片描述

1
64位:将 x64\plugins 目录下的文件复制\x64dbg\release\x64\plugins目录。

图片描述

问题:x64dbg保存调试数据(软件主题未修改,在调试器中重新运行也还是保存调试数据:修改汇编指令),如何清除保存的调试数据

  • 猜测:插件干扰:已验证为插件干扰
  • 已解决,已找到源头,但仍在研究问题出现原因
    图片描述
  • 主要影响源为AutoExportPatches.dp32:删除改插件去除影响
  • 但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响,在次调试仍会出现保存调试记录现象,比较绕换一个说法:
  • 表象:AttachHelper.dp33
  • 核心:AutoExportPatches.dp32
  • 在插件中只显示表象信息,核心无显示,如下图
    图片描述
  • 问题:保存调试数据,无法清除,重新运行程序(Ctrl F12)或重新载入程序,仍会调用上次调试的数据,但他没有修改主程序,只是把调试记录保存,让x64dbg调用
  • 表象与核心同时存在,会导致问题出现,删除表象,调试记录删除(不要开心的太早)也不显示存在插件,在次调试,例如更改数据89 75 为 89 00,重新运行程序(Ctrl F12)或重新载入程序后调试仍存在,删除核心保留表象,显示插件,但问题已不存在,同时删除表象与核心,问题消失
  • 附件备份x64dbg保存调试数据.rar
  • 反思:不要成批量的安装插件,先熟悉插件的用途,在安装使用

问题:x64dbg如何查看数据地址常量

  • 已解决:右键-查找引用-地址/常数
    图片描述
  • x64dbg与OD地址常量显示对比
    图片描述

问题:如何保存调试,修补文件失败如何解决

  • 已解决:保存调试功能在补丁模块,快捷键CTRL P ,在文件、内容区域右键、菜单栏也可见
    图片描述
    图片描述
    图片描述
  • 已解决:复制源程序并copy到桌面,修补copy的程序(源程序所在文件夹属性为受保护状态,需管理员权限才可进行操作)
    应用效果
    图片描述

问题:如何使用x64dbg查询模块基址

  • 已解决:右键-在内存布局中转到

    1
    2
    3
    4
    5
    6
    地址=00007FF6B6090000        //模块基址
    大小=0000000000001000
    页面信息=abcmdr64.exe
    分配类型=IMG
    当前保护=-R---
    初始保护=ERWC-

问题:"DD"去那了

在用OD的时候有个DD命令感觉很好用,但是在x64dbg中执行后,发现不是那么回事,执行效果如下图所示:

  • 已解决:百度大法了解到x64dbg 中使用dump指令,效果如下

问题:x64dbgpy插件安装

有伙伴说该插件安装失败,今天晚上抽空实验下,记录如下

  • 最新插件下载地址点击本地下载
    https://ci.appveyor.com/project/mrexodia/x64dbg-python/build/artifacts
  • 解压复制到相关目录
  • 排查环境
    Win7

    Win10

  • 运行x64dbg,查看安装效果


  • 插件成功安装

问题:如何转到指定地址

当通过一些其它辅助软件或收集到的信息,知道了关键的判断地址,想转到此地址如何操作:
汇编窗口右键-转到-表达式或快捷键Ctrl G,在输入框内输入要转到的地址即可

 

暂停记录,愿学习不要止步于此


【公告】【iPhone 13、ipad、iWatch】11月15日中午12:00,看雪·众安 2021 KCTF秋季赛 正式开赛【攻击篇】!!!文末有惊喜~

最后于 2021-3-10 13:49 被梦幻的彼岸编辑 ,原因:
上传的附件:
收藏
点赞2
打赏
分享
最新回复 (17)
雪    币: 2
活跃值: 活跃值 (1017)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
咖啡_741298 活跃值 2020-6-5 20:40
2
0
OD里面的DD命令在x64dbg里面是什么呢? 
雪    币: 3000
活跃值: 活跃值 (12849)
能力值: (RANK:230 )
在线值:
发帖
回帖
粉丝
梦幻的彼岸 活跃值 1 2020-6-5 23:35
3
0
x64 dbg 中的dump运行效果等同OD DD指令

x64 dbg中运行dd命令效果:
例如:
00007FF94D491222 | 7F 8D                    | jg ntdll.7FF94D4911B1                   |
输入 dd 00007FF94D491222后
变为 
00007FF94D491222 | 7F8D4F40                 | dd 404F8D7F                             |

雪    币: 256
活跃值: 活跃值 (204)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ZwCopyAll 活跃值 2020-6-6 12:41
4
0
666
雪    币: 89
活跃值: 活跃值 (465)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
tcy027 活跃值 2020-6-13 23:04
5
0
marki
雪    币: 90
活跃值: 活跃值 (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
黄小付 活跃值 2020-6-15 18:10
6
0
动画用什么录制的,感觉小巧呢
雪    币: 3000
活跃值: 活跃值 (12849)
能力值: (RANK:230 )
在线值:
发帖
回帖
粉丝
梦幻的彼岸 活跃值 1 2020-6-15 23:03
7
0
screen to gif
雪    币: 15657
活跃值: 活跃值 (3405)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ninebell 活跃值 2020-6-28 15:48
8
0
给我表演下python for x64dbg到底如何安装?
看过Youtube视频,严重怀疑少了vs2015
雪    币: 256
活跃值: 活跃值 (204)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ZwCopyAll 活跃值 2020-6-28 20:52
9
0
问一下为啥 x64dbg的run跟踪比od慢那么多呢  有啥方法可以让他快一点
雪    币: 3000
活跃值: 活跃值 (12849)
能力值: (RANK:230 )
在线值:
发帖
回帖
粉丝
梦幻的彼岸 活跃值 1 2020-7-1 10:25
10
0
不好意思这两天没有时间实验,今天抽空实验了下,回帖有点慢,望见谅
python for x64dbg,已成功安装,详情已在帖子更新
提升速度的插件还在寻找
雪    币: 189
活跃值: 活跃值 (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
davidhee 活跃值 2020-7-1 18:17
11
0
优秀!感谢LZ辛苦出教程
雪    币: 21
活跃值: 活跃值 (232)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jfztaq 活跃值 2020-7-12 08:39
12
0
不错不错,那个DD命令太坑了。原来使用dump查看。。
雪    币: 102
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_kntkzpey 活跃值 2020-7-14 23:20
13
0
最新插件下载地址打不开
雪    币: 3000
活跃值: 活跃值 (12849)
能力值: (RANK:230 )
在线值:
发帖
回帖
粉丝
梦幻的彼岸 活跃值 1 2020-7-15 09:26
14
0
失效了,我本地上传一份,避免在出现这个情况
雪    币: 437
活跃值: 活跃值 (296)
能力值: ( LV12,RANK:223 )
在线值:
发帖
回帖
粉丝
scpczc 活跃值 1 2020-8-20 17:17
15
0
楼主 做个X64DBG的 run trace 详解嘛.
雪    币: 3000
活跃值: 活跃值 (12849)
能力值: (RANK:230 )
在线值:
发帖
回帖
粉丝
梦幻的彼岸 活跃值 1 2020-8-26 11:12
16
0
最近有其它事情需要处理,这周看有没有机会抽空写个详解。
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
斑比 活跃值 2021-2-25 10:57
17
0
收藏等于会了~
雪    币: 200
活跃值: 活跃值 (57)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
幽云孤鹰 活跃值 2021-5-7 08:44
18
0
楼主厉害,帮助我等小白
游客
登录 | 注册 方可回帖
返回