記錄更新時間:2021年3月10日
一問一答,學海無涯
此貼記錄使用x64dbg調試軟件出現的問題,以及解決辦法,幫助伙伴們快速入手這款調試工具
問題:如何查看最近調試了那些程序,其配置信息保存在那里
- 已解決,可點擊文件-最近打開的文件查詢,可在配置 INI 文件的 Recent Files 段中找到
注意:步顯示無法調試的文件,例如調試123.exe時告知此程序無法調試,之后你在最近打開的文件查詢中是查詢不到的
問題:x64dbg如何安裝插件
- 已解決,將下載好的插件copy到plugins文件夾
注意:x64dbg解壓完畢不會出現該文件夾,需運行對應位數的行x64dbg之后才會在其對應的位數目錄生成該文件夾,插件有位數區別,切記copy到對應的目錄
舉例
|
1
|
32
位:將 x32\plugins 目錄下的文件復制\x64dbg\release\x32\plugins目錄。
|
|
1
|
64
位:將 x64\plugins 目錄下的文件復制\x64dbg\release\x64\plugins目錄。
|
問題:x64dbg保存調試數據(軟件主題未修改,在調試器中重新運行也還是保存調試數據:修改匯編指令),如何清除保存的調試數據
- 猜測:插件干擾:已驗證為插件干擾
- 已解決,已找到源頭,但仍在研究問題出現原因
- 主要影響源為AutoExportPatches.dp32:刪除改插件去除影響
- 但發現刪除AttachHelper.dp33保留AutoExportPatches.dp32會去除此次影響,在次調試仍會出現保存調試記錄現象,比較繞換一個說法:
- 表象:AttachHelper.dp33
- 核心:AutoExportPatches.dp32
- 在插件中只顯示表象信息,核心無顯示,如下圖
- 問題:保存調試數據,無法清除,重新運行程序(Ctrl F12)或重新載入程序,仍會調用上次調試的數據,但他沒有修改主程序,只是把調試記錄保存,讓x64dbg調用
- 表象與核心同時存在,會導致問題出現,刪除表象,調試記錄刪除(不要開心的太早)也不顯示存在插件,在次調試,例如更改數據89 75 為 89 00,重新運行程序(Ctrl F12)或重新載入程序后調試仍存在,刪除核心保留表象,顯示插件,但問題已不存在,同時刪除表象與核心,問題消失
- 附件備份x64dbg保存調試數據.rar
- 反思:不要成批量的安裝插件,先熟悉插件的用途,在安裝使用
問題:x64dbg如何查看數據地址常量
- 已解決:右鍵-查找引用-地址/常數
- x64dbg與OD地址常量顯示對比
問題:如何保存調試,修補文件失敗如何解決
- 已解決:保存調試功能在補丁模塊,快捷鍵CTRL P ,在文件、內容區域右鍵、菜單欄也可見
- 已解決:復制源程序並copy到桌面,修補copy的程序(源程序所在文件夾屬性為受保護狀態,需管理員權限才可進行操作)
應用效果
問題:如何使用x64dbg查詢模塊基址
-
已解決:右鍵-在內存布局中轉到
123456地址=00007FF6B6090000//模塊基址大小=0000000000001000頁面信息=abcmdr64.exe分配類型=IMG當前保護=-R---初始保護=ERWC-
問題:"DD"去那了
在用OD的時候有個DD命令感覺很好用,但是在x64dbg中執行后,發現不是那么回事,執行效果如下圖所示:
- 已解決:百度大法了解到x64dbg 中使用dump指令,效果如下
問題:x64dbgpy插件安裝
有伙伴說該插件安裝失敗,今天晚上抽空實驗下,記錄如下
- 最新插件下載地址點擊本地下載
https://ci.appveyor.com/project/mrexodia/x64dbg-python/build/artifacts - 解壓復制到相關目錄
-
排查環境
Win7
Win10 -
運行x64dbg,查看安裝效果
- 插件成功安裝
問題:如何轉到指定地址
當通過一些其它輔助軟件或收集到的信息,知道了關鍵的判斷地址,想轉到此地址如何操作:
匯編窗口右鍵-轉到-表達式或快捷鍵Ctrl G,在輸入框內輸入要轉到的地址即可
暫停記錄,願學習不要止步於此