x64dbg入门：解惑篇

admin

问题：如何查看最近调试了那些程序，其配置信息保存在那里

• 已解决，可点击文件-最近打开的文件查询，可在配置 INI 文件的 Recent Files 段中找到
  
  注意：步显示无法调试的文件，例如调试123.exe时告知此程序无法调试，之后你在最近打开的文件查询中是查询不到的
  

问题：x64dbg如何安装插件

• 已解决，将下载好的插件copy到plugins文件夹
  
  注意：x64dbg解压完毕不会出现该文件夹，需运行对应位数的行x64dbg之后才会在其对应的位数目录生成该文件夹，插件有位数区别，切记copy到对应的目录
  举例
  

1	32位：将 x32\plugins 目录下的文件复制\x64dbg\release\x32\plugins目录。

1	64位：将 x64\plugins 目录下的文件复制\x64dbg\release\x64\plugins目录。

问题：x64dbg保存调试数据（软件主题未修改，在调试器中重新运行也还是保存调试数据：修改汇编指令），如何清除保存的调试数据

• 猜测：插件干扰:已验证为插件干扰
• 已解决，已找到源头，但仍在研究问题出现原因
  
• 主要影响源为AutoExportPatches.dp32：删除改插件去除影响
• 但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响，在次调试仍会出现保存调试记录现象,比较绕换一个说法：
• 表象：AttachHelper.dp33
• 核心：AutoExportPatches.dp32
• 在插件中只显示表象信息，核心无显示，如下图
  
• 问题：保存调试数据，无法清除，重新运行程序(Ctrl F12)或重新载入程序，仍会调用上次调试的数据，但他没有修改主程序，只是把调试记录保存，让x64dbg调用
• 表象与核心同时存在，会导致问题出现，删除表象，调试记录删除（不要开心的太早)也不显示存在插件，在次调试，例如更改数据89 75 为 89 00，重新运行程序(Ctrl F12)或重新载入程序后调试仍存在，删除核心保留表象，显示插件，但问题已不存在，同时删除表象与核心，问题消失
• 附件备份x64dbg保存调试数据.rar
• 反思：不要成批量的安装插件，先熟悉插件的用途，在安装使用
  

问题：x64dbg如何查看数据地址常量

• 已解决：右键-查找引用-地址/常数
  
• x64dbg与OD地址常量显示对比
  
  

问题：如何保存调试，修补文件失败如何解决

• 已解决：保存调试功能在补丁模块，快捷键CTRL P ，在文件、内容区域右键、菜单栏也可见
  
  
  
• 已解决：复制源程序并copy到桌面，修补copy的程序(源程序所在文件夹属性为受保护状态，需管理员权限才可进行操作)
  应用效果
  
  

问题：如何使用x64dbg查询模块基址

• 已解决：右键-在内存布局中转到
  

  1 2 3 4 5 6

  地址=00007FF6B6090000        //模块基址 大小=0000000000001000 页面信息=abcmdr64.exe 分配类型=IMG 当前保护=-R--- 初始保护=ERWC-

  问题："DD"去那了
  在用OD的时候有个DD命令感觉很好用，但是在x64dbg中执行后，发现不是那么回事，执行效果如下图所示：
  
• 已解决：百度大法了解到x64dbg 中使用dump指令,效果如下
  
  暂停记录，愿学习不要止步于此，