x64dbg入门：解惑篇-逆向资源区-新软之家-专业的行业破解软件下载论坛-用友金蝶管家婆绿盾威盾 OA 活字格帆软勤哲

admin 发表于 2020-6-14 11:51:25

x64dbg入门：解惑篇

问题：如何查看最近调试了那些程序，其配置信息保存在那里
[*]已解决，可点击文件-最近打开的文件查询，可在配置 INI 文件的 Recent Files 段中找到
https://bbs.pediy.com/upload/attach/202006/767964_GFZ5W3X3KNQN4JJ.png
注意：步显示无法调试的文件，例如调试123.exe时告知此程序无法调试，之后你在最近打开的文件查询中是查询不到的
问题：x64dbg如何安装插件
[*]已解决，将下载好的插件copy到plugins文件夹
https://bbs.pediy.com/upload/attach/202006/767964_P2YBVNHVVM6N8RP.png
注意：x64dbg解压完毕不会出现该文件夹，需运行对应位数的行x64dbg之后才会在其对应的位数目录生成该文件夹，插件有位数区别，切记copy到对应的目录
举例

1
32位：将 x32\plugins 目录下的文件复制\x64dbg\release\x32\plugins目录。

https://bbs.pediy.com/upload/attach/202006/767964_45HQR5WP3UR6G97.png
1
64位：将 x64\plugins 目录下的文件复制\x64dbg\release\x64\plugins目录。

https://bbs.pediy.com/upload/attach/202006/767964_CDSYZUM9MPABRYP.png问题：x64dbg保存调试数据（软件主题未修改，在调试器中重新运行也还是保存调试数据：修改汇编指令），如何清除保存的调试数据
[*]猜测：插件干扰:已验证为插件干扰
[*]已解决，已找到源头，但仍在研究问题出现原因
https://bbs.pediy.com/upload/attach/202006/767964_ATFFKVNH6WJYK5X.png
[*]主要影响源为AutoExportPatches.dp32：删除改插件去除影响
[*]但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响，在次调试仍会出现保存调试记录现象,比较绕换一个说法：
[*]表象：AttachHelper.dp33
[*]核心：AutoExportPatches.dp32
[*]在插件中只显示表象信息，核心无显示，如下图
https://bbs.pediy.com/upload/attach/202006/767964_M6ZKZ95NC8GFXBE.png
[*]问题：保存调试数据，无法清除，重新运行程序(Ctrl F12)或重新载入程序，仍会调用上次调试的数据，但他没有修改主程序，只是把调试记录保存，让x64dbg调用
[*]表象与核心同时存在，会导致问题出现，删除表象，调试记录删除（不要开心的太早)也不显示存在插件，在次调试，例如更改数据89 75 为 89 00，重新运行程序(Ctrl F12)或重新载入程序后调试仍存在，删除核心保留表象，显示插件，但问题已不存在，同时删除表象与核心，问题消失
[*]附件备份x64dbg保存调试数据.rar
[*]反思：不要成批量的安装插件，先熟悉插件的用途，在安装使用
问题：x64dbg如何查看数据地址常量
[*]已解决：右键-查找引用-地址/常数
https://bbs.pediy.com/upload/attach/202006/767964_JHGZYH82QCBR5CV.png
[*]x64dbg与OD地址常量显示对比
https://bbs.pediy.com/upload/attach/202006/767964_8CTSTHETDEQ2HQS.png
问题：如何保存调试，修补文件失败如何解决
[*]已解决：保存调试功能在补丁模块，快捷键CTRL P ，在文件、内容区域右键、菜单栏也可见
https://bbs.pediy.com/upload/attach/202006/767964_37MV9XY4WSFW8FN.png
https://bbs.pediy.com/upload/attach/202006/767964_6RWKHNZ9RAWF8ZX.png
https://bbs.pediy.com/upload/attach/202006/767964_ZA29TR4772VRPCR.png
[*]已解决：复制源程序并copy到桌面，修补copy的程序(源程序所在文件夹属性为受保护状态，需管理员权限才可进行操作)
应用效果
https://bbs.pediy.com/upload/attach/202006/767964_6H4RE9HJZ3B5R2F.png
问题：如何使用x64dbg查询模块基址
[*]已解决：右键-在内存布局中转到
https://bbs.pediy.com/upload/attach/202006/767964_4R6CJAA3WR82WXX.gif
1
2
3
4
5
6
地址=00007FF6B6090000 //模块基址
大小=0000000000001000
页面信息=abcmdr64.exe
分配类型=IMG
当前保护=-R---
初始保护=ERWC-

问题："DD"去那了在用OD的时候有个DD命令感觉很好用，但是在x64dbg中执行后，发现不是那么回事，执行效果如下图所示：
https://bbs.pediy.com/upload/attach/202006/767964_6EHC34PTFK4EYQZ.gif
[*]已解决：百度大法了解到x64dbg 中使用dump指令,效果如下
https://bbs.pediy.com/upload/attach/202006/767964_KN4FTUUM9247QBW.gif
暂停记录，愿学习不要止步于此，

页: [1]

新软之家's Archiver

x64dbg入门：解惑篇