1.1 熟悉x64dbg调试器

这篇具有很好参考价值的文章主要介绍了1.1 熟悉x64dbg调试器。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。

1.1 熟悉x64dbg调试器

x64dbg官方地址:https://x64dbg.com/

x64dbg和Ollydbg虽都是Windows平台上的调试器工具,但它们有一些不同之处:

  • 支持架构:Ollydbg仅支持x86架构,而x64dbg支持x86和x64架构,因此x64dbg可以调试64位应用程序,而Ollydbg则无法做到。
  • 开源性:x64dbg是一个开源项目,而Ollydbg是闭源软件。
  • 插件生态:x64dbg的插件系统更加完善,有更多的第三方插件可供使用,而Ollydbg的插件系统相对较少。
  • 用户界面:x64dbg的界面比Ollydbg更现代化,具有更好的可定制性,可以自定义布局,颜色和字体等。
  • 功能比较:x64dbg具有许多高级功能,如内存映射,数据跟踪,反汇编和代码绘图等,而Ollydbg则相对较少。

在学习使用该工具之前第一步则是要安装软件,x64dbg调试器的安装很容易,读者只需要前往x64dbg的官方开源仓库中找到下载按钮。

以Github仓库为例,读者需访问https://github.com/x64dbg/x64dbg/releases并在其中找到所对应的snapshot_2023-03-04_02-26.zip版本点击下载即可;

1.1 熟悉x64dbg调试器

下载好以后解压这个压缩包,读者会看到两个文件夹,其中pluginsdk代表的是x64dbg的开发工具包,如果需要开发自定义插件则需要引入该工具包,而release则是编译版本的x64dbg本体,打开release文件夹读者会看到如下图所示的目录结构,其中x32/x64分别代表的是两种架构的调试器,而如果用户需要安装调试器到系统内只需要点击x96dbg.exe并依次点击下一步即可完成调试器的安装;

1.1 熟悉x64dbg调试器

1.1 如何启动调试

不同于OllyDBG调试器,x64dbg默认就支持两种调试模式,通常读者可以选择使用打开文件的方式调试程序,也可以直接附加到一个已经存在的进程上调试同时支持脱离进程,需要注意的是为了保证最佳的调试效果,调试器的打开请读者使用管理员方式运行。

当用户需要打开调试程序时,可以通过菜单"文件"->"打开"(或者按下快捷键F3),会弹出如下图所示的打开文件对话框,默认对话框会停留在x64dbg软件的根目录,此时通过选择所需调试的进程即可打开调试;

1.1 熟悉x64dbg调试器

第二种调试方式则是直接附加到一个已经存在的进程上,可以通过菜单"文件"->"附加"(或者按下快捷键Alt+A)会弹出如下图所示的附加对话框,读者只需要选中一个正在运行的程序即可附加到特定进程内,当用户调试结束后可通过Ctrl+Alt+F2脱离进程;

1.1 熟悉x64dbg调试器

1.2 熟悉x64dbg窗口

当被调试程序与调试器之间建立调试关系以后,就可以开始进行动态调试分析了,在x64dbg中有许多的窗口,例如CPU窗口,寄存器窗口,堆栈窗口,十六进制窗口等,如下图所示则是x64dbg运行后的主界面;

这里增加一个知识点,关于动态反汇编调试与静态反汇编调试的区别:

  • 动态反汇编调试(Dynamic Disassembly Debugging)是指在程序运行时动态地反汇编机器码,从而获取指令级别的执行信息和内存访问情况,以辅助调试和分析程序。动态反汇编调试需要借助特殊的调试工具,如GDB、x64dbg、Ollydbg等,通常用于调试崩溃、死锁、内存泄漏等问题。

  • 静态反汇编调试(Static Disassembly Debugging)是指对程序进行反汇编分析,不需要运行程序,只需要对程序进行静态分析就可以获得指令级别的执行信息和内存访问情况,以辅助调试和分析程序。静态反汇编调试需要使用特殊的工具,如IDA Pro、Binary Ninja等,通常用于逆向工程、恶意代码分析、漏洞挖掘等方面。

1.1 熟悉x64dbg调试器

如上图所示,当调试器运行后最大的窗口则是CPU窗体,CPU窗体是x64dbg的默认主窗口,用户所有的调试工作都在CPU窗体中完成,因为CPU窗体就是用于反应当前CPU以及寄存器执行状态的,CPU窗体其内部包含了五个子窗口,分别是反汇编窗口,寄存器窗口,栈地址窗口,十六进制数据窗口,以及堆栈参数解析窗口。

(1)反汇编窗口

反汇编窗口是x64dbg的一个主要功能之一,它可以显示被调试程序的汇编指令,并允许用户查看和修改这些指令(需要注意的是当一个进程被加载默认EIP会停在系统模块中),其主要的作用包括;

  • 显示程序的汇编指令:反汇编窗口可以将二进制文件转换为汇编代码,并显示在窗口中。这使得程序员可以深入了解程序的内部工作原理,并且可以查找程序中的漏洞和安全问题。
  • 允许用户修改指令:反汇编窗口不仅可以显示程序的汇编指令,还可以允许用户直接在窗口中修改指令。这对于调试和修复程序中的错误非常有用,但需要小心操作,以避免引入新的错误。
  • 跟踪代码执行:反汇编窗口还可以跟踪被调试程序的代码执行过程,以便程序员可以了解程序在运行时的行为和状态。这对于调试和优化程序非常有用。
  • 显示程序的符号表:反汇编窗口可以显示程序的符号表,这对于程序员来说非常重要,因为它可以帮助他们更好地理解程序中的变量、函数和其他标识符。

(2)寄存器窗口

寄存器窗口则是在调试器最右侧的顶端,该窗口用于显示和解释当前线程环境下CPU寄存器的各种状态值和内容,并且读者可以通过双击这些寄存器组来对其进行动态的调整参数;

寄存器 描述
EAX 通用寄存器,用于存放函数返回值、算术运算结果等。
EBX 通用寄存器,用于存放内存地址或其他通用数据。
ECX 通用寄存器,用于存放函数参数。
EDX 通用寄存器,用于存放内存地址或其他通用数据。
ESI 通用寄存器,用于存放源数据的地址,例如字符串拷贝等操作。
EDI 通用寄存器,用于存放目标数据的地址,例如字符串拷贝等操作。
EBP 基址指针,用于存放当前栈帧的基址。
ESP 堆栈指针,用于存放当前堆栈顶部的地址。
EIP 指令指针,用于存放当前正在执行的指令的地址。
EFLAGS 标志寄存器,用于存放CPU的状态标志,例如进位标志、零标志、符号标志等。

其中标志寄存器(Flag Register)是一个16位的寄存器,用于存储CPU运算的状态标志,例如进位标志、零标志、符号标志等。下面列出了x86架构CPU中的标志寄存器以及它们的含义:

标志位 中文名称 描述
CF 进位标志 当无符号整数加法或减法的结果超出了寄存器的宽度时,该标志位会被设置为1。CF=1表示有进位发生,CF=0表示无进位发生。
PF 奇偶标志 当一个操作的结果中有偶数个二进制位为1时,该标志位会被设置为1。PF=1表示结果中有偶数个1,PF=0表示结果中有奇数个1。
AF 调整标志 当一个二进制算术操作(例如加法或减法)中低4位产生了进位或借位时,该标志位会被设置为1。AF=1表示有进位或借位发生,AF=0表示无进位或借位发生。
ZF 零标志 当一个操作的结果为零时,该标志位会被设置为1。ZF=1表示结果为零,ZF=0表示结果不为零。
SF 符号标志 当一个操作的结果为负数时,该标志位会被设置为1。SF=1表示结果为负数,SF=0表示结果为非负数。
TF 陷阱标志 该标志位用于单步调试,当TF=1时,CPU会在每个指令执行后暂停并等待调试器的命令。
IF 中断标志 该标志位用于控制CPU是否响应中断请求。当IF=1时,CPU允许中断请求;当IF=0时,CPU禁止中断请求。
DF 方向标志 该标志位用于控制字符串操作的方向,当DF=1时,字符串操作是从高地址向低地址进行的;当DF=0时,字符串操作是从低地址向高地址进行的。
OF 溢出标志 当有符号整数加法或减法的结果超出了寄存器的宽度时,该标志位会被设置为1。OF=1表示有溢出发生,OF=0表示无溢出发生。

(3)堆栈窗口

堆栈窗口用于显示当前线程的栈,栈是一种后进先出(Last-In-First-Out,LIFO)的数据结构。堆栈窗口会随着ESP(Extended Stack Pointer)寄存器的变化而变化,ESP指向当前栈顶元素的地址。堆栈窗口可以显示栈帧、函数调用和局部变量等信息,这对于调试和优化程序非常有用。此外,堆栈窗口还可以允许用户修改栈上的数据,这对于调试和修复程序中的错误非常有用,但需要小心操作,以避免引入新的错误。

堆栈窗口有两个重要的作用,一个是用于调用函数时的参数传递,另一个作用是函数内部的变量局部空间,函数内定义的变量和临时变量都存储在堆栈中,当函数返回时,这些变量会自动销毁。堆栈窗口可以帮助程序员查看函数内部变量的值和状态,从而更好地理解程序的行为和调试错误。

(4)十六进制窗口

在x64dbg最左侧底部则是十六进制窗口,该窗口的主要作用适用于浏览内存,或在特定区域读入或写出数据时使用,在某些时候还可以用来在特定内存区域下断点,以下是一些关于它的主要作用:

  • 浏览内存 - 十六进制窗口可以让您直接查看内存中的数据。您可以使用箭头键或鼠标滚轮向上或向下滚动,以浏览更多内存。这对于分析程序的内存布局和查找特定数据非常有用。
  • 读入或写出数据 - 可以在十六进制窗口中选择特定的内存区域,并使用右键菜单中的“复制”和“粘贴”选项来读入或写出数据。这对于修改程序的内存状态或在调试过程中注入数据非常有用。
  • 设置断点 - 可以在特定的内存地址上设置断点,以便在程序执行到该地址时中断。要设置断点,请在十六进制窗口中右键单击该地址,并选择“设置断点”。

除了以上这些功能外,十六进制窗口还可以显示与特定内存地址相关的汇编代码,并提供许多其他的操作选项,例如搜索内存、转换数据格式等等。

(5)掌握常用快捷键

熟练掌握x64dbg的快捷键可以使调试和分析工作更加高效和快速。x64dbg提供了丰富的快捷键选项,让用户在操作时可以尽可能地减少鼠标操作,更专注于代码和调试数据的分析。通过掌握快捷键,可以更快速地执行调试命令、添加或删除断点、修改寄存器、查找内存等操作,从而提高调试和分析的效率。因此,熟练使用x64dbg的快捷键是成为一名高效的调试和分析人员的必备技能之一,以下是x64dbg所支持的快捷键分类,读者可更具自己的实际情况学习掌握;

调试控制

  • F2:开始/停止调试
  • F3:单步执行
  • F7:进入函数调用
  • F8:跳过函数调用
  • F9:继续执行
  • F12:暂停/继续执行

断点

  • F5:添加/删除断点
  • Ctrl + F5:添加/删除硬件断点
  • F6:添加/删除条件断点
  • F9:启用/禁用断点
  • Ctrl + F9:启用/禁用所有断点

寄存器

  • Ctrl + R:打开/关闭寄存器窗口
  • Ctrl + G:跳转到指定地址
  • F2/F4/F6:在寄存器窗口中修改寄存器的值

内存

  • Ctrl + M:打开/关闭内存窗口
  • Ctrl + E:打开/关闭表达式窗口
  • Ctrl + F:查找指定字节序列
  • Ctrl + Shift + F:查找指定指令序列
  • Ctrl + D:将内存中的数据以十六进制形式导出到文件中

动态分析

  • Ctrl + A:打开/关闭汇编窗口
  • Ctrl + B:打开/关闭堆栈窗口
  • Ctrl + C:打开/关闭CPU窗口
  • Ctrl + L:打开/关闭日志窗口

其他

  • Ctrl + F2:打开/关闭工具栏
  • Ctrl + F10:打开/关闭菜单栏
  • Ctrl + Q:退出x64dbg

注意:以上快捷键是x64dbg的默认设置,您也可以通过"选项"菜单中的"快捷键"选项来自定义快捷键。

1.3 熟悉x64dbg断点

断点机制是调试器的重要功能,x64dbg为调试着提供了多种调试断点,通常包括了软件断点,硬件断点,内存断点,一次性断点,条件断点,消息断点等,熟练使用断点是调试程序的基本技能,断点通常可被总结为如下;

(1)软件断点

在程序执行到特定指令时暂停程序执行。这种断点类型是由调试器模拟实现的,通常通过修改程序指令来实现。它是最常见的断点类型,因为可以在任何代码段中设置断点。

在x64dbg中,调试这可以通过F2快捷键在所需下断点的位置下断,当该位置被下断点后,则调试器会以红色标注,而当前EIP指针则会使灰色显示,如下图所示;

1.1 熟悉x64dbg调试器

此外软件断点同样可以使用bp/bpx等命令下断,或通过bc来取消断点,当读者需要在特定函数上下断点时,可通过Ctrl+G调出地址跳转表达窗口,并输入如MessageBoxA等函数,跳转后手动下断点。

1.1 熟悉x64dbg调试器

亦可在命令窗口输入bp MessageBoxA自动下断点,断点可在断点选项卡中看到该断点的详细参数;

1.1 熟悉x64dbg调试器

(2)硬件断点

与软件断点不同,硬件断点是通过修改特定的处理器寄存器来实现的,这些寄存器用于跟踪指令地址和数据访问地址。硬件断点通常比软件断点更快,但是受到硬件限制,可以在某些情况下设置的数量有限。

在x64dbg中,硬件断点可以分为三种类型:硬件执行断点、硬件读取断点和硬件写入断点。以下是每种类型的解释:

  • 硬件执行断点 - 当程序执行到指定地址时,触发硬件执行断点。这种断点类型适用于在特定指令处调试程序,例如函数调用或跳转指令。在x64dbg中,硬件执行断点可以通过在指令前面的地址上设置“e”来实现。

  • 硬件读取断点 - 当程序尝试从指定内存地址读取数据时,触发硬件读取断点。这种断点类型适用于在特定内存位置上调试程序,例如检测某个变量的值何时被更改。在x64dbg中,硬件读取断点可以通过在指定内存地址上设置“r”来实现。

  • 硬件写入断点 - 当程序尝试向指定内存地址写入数据时,触发硬件写入断点。这种断点类型适用于在特定内存位置上调试程序,例如检测某个变量的值何时被更改。在x64dbg中,硬件写入断点可以通过在指定内存地址上设置“w”来实现。

1.1 熟悉x64dbg调试器

(3)内存断点

当程序在特定内存地址处读取、写入或执行时,暂停程序执行。这种断点类型通常用于检测内存访问错误或跟踪特定变量的更改。而一次性断点则是在程序执行到特定指令时只触发一次。这种断点类型通常用于调试复杂代码中的问题,而不是在每次执行到指令时都触发断点。

在x64dbg中,内存断点可以根据不同的操作类型进行分类,内存断点被分为内存访问,内存执行,内存写入,内存读取等,他们之间的应用各不相同;

  • 内存访问断点(Access breakpoint):当程序试图访问特定内存地址时触发,可以用于检测对敏感数据的未授权访问,例如密码、私钥等。
  • 内存执行断点(Execute breakpoint):当程序试图执行特定内存地址处的指令时触发,可以用于检测恶意代码注入、代码劫持等攻击。
  • 内存写入断点(Write breakpoint):当程序试图写入特定内存地址时触发,可以用于检测对敏感数据的修改、防止非法更改程序代码等。
  • 内存读取断点(Read breakpoint):当程序试图从特定内存地址读取数据时触发,可以用于检测对敏感数据的窃取、防止非法读取程序代码等。

1.1 熟悉x64dbg调试器

(4)消息断点

x64dbg消息断点(Message Breakpoint)是一种特殊类型的断点,可以用于监视程序执行期间的Windows消息,包括键盘输入、鼠标操作、窗口消息等。当程序接收到指定类型的消息时,消息断点会触发,程序执行会暂停,以便进行调试。

1.1 熟悉x64dbg调试器

消息断点在调试GUI程序时非常有用,可以帮助调试窗口消息的处理代码,定位程序中的错误或异常行为。例如,当你想要调试一个窗口消息处理函数时,可以在该函数上设置消息断点,当程序接收到对应的消息时,程序会暂停在该函数内部,方便进行调试。

1.4 熟悉x64dbg代码跟踪

(1)反汇编调试命令

在前面的章节中笔者介绍了x64dbg的窗口以及断点的基本设置方法,接下来将介绍x64dbg中的代码跟踪,代码跟踪是任何一个调试器的核心功能,一般而言跟踪功能都会包括,单步步过(快捷键F8),单步步进(快捷键F7),运行到返回(快捷键Ctrl+F9),以及运行到用户代码(Alt+F9快捷键)等常用功能。

1.1 熟悉x64dbg调试器

在x64dbg中进行代码跟踪可以帮助我们分析程序的执行过程和调试代码,以便更好地理解程序的运行机制。下面是一些常用的代码跟踪功能,及对该功能的解析:

  • 单步步过(快捷键F8):该功能用于逐行执行程序,当执行到函数调用时,会直接跳到函数内部执行,而不会逐行执行函数内部的代码。
  • 单步步进(快捷键F7):该功能用于逐行执行程序,当执行到函数调用时,会进入函数内部逐行执行代码,直到执行完毕并返回到函数调用处。
  • 运行到返回(快捷键Ctrl+F9):该功能用于直接运行程序,直到执行到当前函数的返回语句处停止,并返回到函数调用处。
  • 运行到用户代码(快捷键Alt+F9):该功能用于直接运行程序,直到执行到用户指定的代码位置停止,可以通过设置断点来指定代码位置。
    在进行代码跟踪时,我们可以在代码窗口中看到当前执行的行和执行指针所指向的内存地址,也可以在寄存器窗口中查看各个寄存器的值,以便更好地理解程序的执行过程。

(2)反汇编检索命令

在x64dbg中,读者可通过Ctrl+F快捷键命令调出命令搜索窗口,并输入一条反汇编指令集,即可实现检索模块内具备的命令位置,当用户勾选整块搜索时,x64dbg会搜寻整个进程内所有匹配的命令,比较遗憾的是x64dbg目前还不支持搜寻多条指令集;

1.1 熟悉x64dbg调试器

虽然无法搜索连续的汇编指令集,但却可是搜寻二进制字符串,通过快捷键Ctrl+B读者可打开二进制搜索框,我们以如下这条命令为例;

1.1 熟悉x64dbg调试器

打开二进制搜索框,输入8B FF 55 8B EC即可用于检索上方的指令片段,也算是一种折中的方法;

1.1 熟悉x64dbg调试器

同时x64dbg还支持搜索字符串,通过右键菜单即可调出搜索框,并实现特殊字符串的检索;

1.1 熟悉x64dbg调试器文章来源地址https://www.toymoban.com/news/detail-524613.html

到了这里,关于1.1 熟悉x64dbg调试器的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux调试器gdb

    本文已收录至《 Linux知识与编程 》专栏! 作者: ARMCSKGT 演示环境: CentOS 7     ​ 目录 前言 正文 下载gdb 生成可调式文件 进入gdb gdb常用指令 查看代码 l  运行程序 r  断点设置 b  显示信息 info  查看断点 info b  删除断点 d  禁用断点 disable breakpoints  启用断点 enable brea

    2024年02月14日
    浏览(54)
  • 水比赛专用-蓝牙调试器

    做比赛的时候免不了要做一些页面方面的展示,亦或者一些遥控什么的方面的远程启动 ,常见的无线通信方式如蓝牙,wifi等是很多大学生竞赛中的常客,因此这里我就把我之前用的很熟的一款蓝牙调试器给分享下,同时也算是做个记录吧! 该调试器是某大佬做的,我只是应

    2024年02月01日
    浏览(43)
  • Linux--调试器:gdb

    gcc与g++默认动态链接形成的可执行程序(比如a.out)是 release 版本,不可调试!!! 如何搞成debug可调试版本? 查看可执行程序存储了哪些内存空间:   调试语法:

    2024年02月13日
    浏览(51)
  • Windows高级调试(学习笔记)-第二章-调试器介绍

    2.1.1 Debugger Types调试器类型 User Mode Deduggers(用户态调试器) 实时调试(Living Debugging)、事后调试(Postmortem Debugging) 三个用户态调试器:cdb.exe、nstd.exe及windbg.exe Kernel Mode Debugger(内核态调试器) 可以分析计算机系统 二个内核态调试器:kd.exe及windbg.exe 2.1.2 Debugger Commands调试器命令 buil

    2024年01月18日
    浏览(68)
  • 4.5 x64dbg 探索钩子劫持技术

    钩子劫持技术是计算机编程中的一种技术,它们可以让开发者拦截系统函数或应用程序函数的调用,并在函数调用前或调用后执行自定义代码,钩子劫持技术通常用于病毒和恶意软件,也可以让开发者扩展或修改系统函数的功能,从而提高软件的性能和增加新功能。 4.5.1 探索

    2024年02月13日
    浏览(41)
  • 4.8 x64dbg 学会扫描应用堆栈

    堆栈是计算机中的两种重要数据结构 堆(Heap)和栈(Stack)它们在计算机程序中起着关键作用,在内存中堆区(用于动态内存分配)和栈区(用于存储函数调用、局部变量等临时数据),进程在运行时会使用堆栈进行参数传递,这些参数包括局部变量,临时空间以及函数切换

    2024年02月13日
    浏览(33)
  • 调试器是个大骗子!

    我叫GDB,是一个调试器,程序员通过我可以调试他们编写的软件,分析其中的bug。 作为一个调试器,调试分析是我的看家本领,像是给目标进程设置断点,或者让它单步执行,又或是查看进程中的变量、内存数据、CPU的寄存等等操作,我都手到擒来。 你只要输入对应的命令

    2024年02月02日
    浏览(42)
  • Linux调试器之gdb

    我们前面介绍了几个基本的环境开发工具。例如通过yum我们可以安装和卸载软件、通过vim我们可以写代码、通过gcc和g++我们可以编译代码成可执行程序。但是如何在Linux下调试代码呢?我们并未介绍,本期我们将来介绍最后一个工具 --- 调试器gdb。 程序的发布方式 gdb基本的调

    2024年04月16日
    浏览(67)
  • Linux | 调试器GDB的详细教程【纯命令行调试】

    学习了【vim】知道了如何 编辑 一个代码文本 学习了【gcc】知道了如何 编译 一个代码文本 学习了【make/Makefile】知道了如何 自动化构建 一个代码文本 但是如何对一段代码去进行调试呢,此时就要使用到 Linux下的调试器gdb 了。对于这个调试器来说,不像是VS中那样的图形化界

    2024年02月02日
    浏览(55)
  • 【Linux】gdb调试器的使用

    文章目录 一、gdb简介 二、调试前的准备 1、生成调试文件 2、启动 gdb  三、gdb 使用方法  1、查看源代码 2、设置 / 查看断点(多种方式设置断点) 方法一 方法二 方法三 3、run  4、删除断点、断点无效 5、逐过程调试(以函数为单位) 6、逐语句调试 7、查看调用链 8、查看变

    2024年02月02日
    浏览(53)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包