记录更新时间:2021年3月10日
一问一答,学海无涯
此贴记录使用x64dbg调试软件出现的问题,以及解决办法,帮助伙伴们快速入手这款调试工具
问题:如何查看最近调试了那些程序,其配置信息保存在那里
- 已解决,可点击文件-最近打开的文件查询,可在配置 INI 文件的 Recent Files 段中找到
注意:步显示无法调试的文件,例如调试123.exe时告知此程序无法调试,之后你在最近打开的文件查询中是查询不到的
问题:x64dbg如何安装插件
- 已解决,将下载好的插件copy到plugins文件夹
注意:x64dbg解压完毕不会出现该文件夹,需运行对应位数的行x64dbg之后才会在其对应的位数目录生成该文件夹,插件有位数区别,切记copy到对应的目录
举例
|
1
|
32
位:将 x32\plugins 目录下的文件复制\x64dbg\release\x32\plugins目录。
|
|
1
|
64
位:将 x64\plugins 目录下的文件复制\x64dbg\release\x64\plugins目录。
|
问题:x64dbg保存调试数据(软件主题未修改,在调试器中重新运行也还是保存调试数据:修改汇编指令),如何清除保存的调试数据
- 猜测:插件干扰:已验证为插件干扰
- 已解决,已找到源头,但仍在研究问题出现原因
- 主要影响源为AutoExportPatches.dp32:删除改插件去除影响
- 但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响,在次调试仍会出现保存调试记录现象,比较绕换一个说法:
- 表象:AttachHelper.dp33
- 核心:AutoExportPatches.dp32
- 在插件中只显示表象信息,核心无显示,如下图
- 问题:保存调试数据,无法清除,重新运行程序(Ctrl F12)或重新载入程序,仍会调用上次调试的数据,但他没有修改主程序,只是把调试记录保存,让x64dbg调用
- 表象与核心同时存在,会导致问题出现,删除表象,调试记录删除(不要开心的太早)也不显示存在插件,在次调试,例如更改数据89 75 为 89 00,重新运行程序(Ctrl F12)或重新载入程序后调试仍存在,删除核心保留表象,显示插件,但问题已不存在,同时删除表象与核心,问题消失
- 附件备份x64dbg保存调试数据.rar
- 反思:不要成批量的安装插件,先熟悉插件的用途,在安装使用
问题:x64dbg如何查看数据地址常量
- 已解决:右键-查找引用-地址/常数
- x64dbg与OD地址常量显示对比
问题:如何保存调试,修补文件失败如何解决
- 已解决:保存调试功能在补丁模块,快捷键CTRL P ,在文件、内容区域右键、菜单栏也可见
- 已解决:复制源程序并copy到桌面,修补copy的程序(源程序所在文件夹属性为受保护状态,需管理员权限才可进行操作)
应用效果
问题:如何使用x64dbg查询模块基址
-
已解决:右键-在内存布局中转到
123456地址=00007FF6B6090000//模块基址大小=0000000000001000页面信息=abcmdr64.exe分配类型=IMG当前保护=-R---初始保护=ERWC-
问题:"DD"去那了
在用OD的时候有个DD命令感觉很好用,但是在x64dbg中执行后,发现不是那么回事,执行效果如下图所示:
- 已解决:百度大法了解到x64dbg 中使用dump指令,效果如下
问题:x64dbgpy插件安装
有伙伴说该插件安装失败,今天晚上抽空实验下,记录如下
- 最新插件下载地址点击本地下载
https://ci.appveyor.com/project/mrexodia/x64dbg-python/build/artifacts - 解压复制到相关目录
-
排查环境
Win7
Win10 -
运行x64dbg,查看安装效果
- 插件成功安装
问题:如何转到指定地址
当通过一些其它辅助软件或收集到的信息,知道了关键的判断地址,想转到此地址如何操作:
汇编窗口右键-转到-表达式或快捷键Ctrl G,在输入框内输入要转到的地址即可
暂停记录,愿学习不要止步于此