加密与解密 调试篇 动态调试技术 (四)-x64dbg/MDebug

最新推荐文章于 2024-02-23 13:45:09 发布
最新推荐文章于 2024-02-23 13:45:09 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: 加密与解密 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/130973868
版权

x64dbg是开源的调试器 支持 32位和64位

Download x64dbg

我们使用64位程序进行实验

加载TraceMe64

然后我们通过之前了解到了

TraceMe是用

GetDlgItemTextA来读取我们输入的值

所以我们在x64dbg中对其进行断点

但是我们先要设置

x64dbg在加载程序的时候是在系统断点处

所以我们要在选项->设置->去除'系统断点'

然后我们开始运行程序F9

随便输入

然后开始设置断点

快捷键 Ctrl+G打开表达式窗口

选择 GetDlgItemTextA

 快捷键 F2设置断点

或者在命令 bp GetDlgItemTextA

点击check

 中断

然后这个时候我们是在winapi函数里 我们F8走出函数

call qword ptr ds:[<&GetDlgItemTextA>]
这里进行读取用户名
mov r9d,65
lea r8,qword ptr ss:[rbp-40]
mov edx,3E8
movsxd rsi,eax
mov rcx,rbx
call qword ptr ds:[<&GetDlgItemTextA>]
这里进行读取序列号
xor edi,edi
cmp byte ptr ss:[rsp+70],dil
je traceme64.7FF754461636
cmp esi,5
jl traceme64.7FF754461636
mov r9d,3
mov r8d,edi
cmp rsi,r9
jle traceme64.7FF7544615B4
mov eax,edi
lea r11,qword ptr ds:[7FF7544B5000]
nop word ptr ds:[rax+rax],ax
movzx ecx,byte ptr ss:[rsp+r9+70]
cmp rax,7
cmovg rax,rdi
inc r9
movzx edx,byte ptr ds:[rax+r11]
inc rax
imul edx,ecx
add r8d,edx
cmp r9,rsi
jl traceme64.7FF754461590
lea rdx,qword ptr ds:[7FF7544A5410]
lea rcx,qword ptr ss:[rsp+70]
call qword ptr ds:[<&wsprintfA>]
lea rdx,qword ptr ss:[rsp+70]
lea rcx,qword ptr ss:[rbp-40]
call qword ptr ds:[<&lstrcmp>]

我们能知道 这个就是我们关键汇编 我们进行读懂

 当我们运行到 00007FF7544615CF的时候 其实 rdx出现了 真正的序列号

还有一个命令读取方式 就是可以读取 字符串

dump rdx

 使用消息断点来调试

我们先把断点取消

然后重新执行 程序

什么都不用输入 点击check

然后进入句柄

右键刷新一下

 选择check 右键 ->消息断点

 

 然后确定

 重新点击check

 程序会停在 ntdll.dll模块

我们想要回到程序领空 就多次使用CTRL+F9即可

但是实际无法退出 因为会一直在内部代码循环

所以我们进行操作

切换到 内存布局窗口

 找到text 然后设置一次性内存断点

 然后F9就可以

这个时候就回到了程序领空

MDebug

MDebug是一个windows的应用程序调试器

具有 32位和64位

我们打开文件后 需要在调试的地方点击执行 才会出现反汇编窗口

 

 在任意寄存器 地址 函数 按回车键 就可以跳转到相应的目标地址处

 

 MDebug的表达式

调试过程中 需要查看内存地址 或者反汇编的地址

这些有的时候需要进行计算得出

下面是 MDebug支持的表达式

API : CreateFileA MessageBoxA ExitProcess AfxMessageBox

十六进制数字或字符常量 :  0a1bh 0x402000 "'A'"  "'ABCD'"

寄存器: eax ebx ecx edx esi edi esp ebp eip ax bx cx dx si di sp bp al ah bl bh cl ch
dl dh

内存地址 :[0012f300]  [0x04200] [eax] [ebp] [esp]





注意 上面四个可以一起混合使用

MessageBoxA + 0x6 

0x112233 *([esp+8]+edi)

0xabcd*(eax-ebx)+al+bl+[eax+4]

eax*4


同时上面四种也可以进行混合逻辑运算

(eax>ebx)&&(EIP >= modulebase && EIP<(modulebase + size))

(eax << 0x18) >> 0x10

调试

MDebug 支持多种调试模式 

假如 我们启动一个程序进行调试 调试 DLL模块 附加一个正在运行的程序
调试服务 调试一段独立的shellcode 同时支持子进程调试

1.调试服务

文件 ->调试进程->服务 就可以进行服务调试了

2.调试shellcode

文件->调试代码 就可以进行代码的调试了

3.调试DLL

当我们进行分析的时候 会发现真正需要分析的功能位于 某一个 DLL(动态链接库)的输出函数中

MDebug支持直接打开DLL进行调试 并且允许直接调试 DLL的输出函数

在被调试程序运行的过程中  希望调试器能够在特定的DLL模块被加载时

中断在模块的入口

选项->调试 -> 在模块加载时停止在模块入口点

4.调试子进程

如果程序在中途 启动了 一个子进程 就需要从入口开始调试子进程

选项->调试-> 调试子进程

断点

断点是所有调试器的基本操作

普通断点:

INT 3


硬件断点:
 
DR寄存器实现断点功能  只能4个 并且支持读写执行条件

内存断点:

把断点的内存页(4KB)设置为 PAGE GUARD 
程序访问就会触发异常


消息断点:

想要知道 按钮对应的消息处理函数


模块断点:

模块断点就是执行到某一个模块 就进行断点

在调试的时候 我们不知道什么会调用 DLL模块 也不知道调用DLL模块的什么函数

这个时候就要使用模块断点

其他功能

内存搜索

在搜索框中 输入普通字符串和十六进制的字符 指定内存范围进行搜索


脚本


跟踪

插件

双层小牛堡
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
strings-plugin-for-x64dbg.x64dbg 的字符串插件
03-16
How to compile the plugin from sources: 1) Install VS2013 2) Install Qt 5.6.2 for VS2013 x86 to C:\Qt\qt-5.6.2-x86-msvc2013 3) Install Qt 5.6.2 for VS2013 x64 to C:\Qt\qt-5.6.2-x64-msvc2013 4) Clone project with all submodules: git clone --recursive https://github.com/horsicq/stringsx64dbg 5) run build_all.bat 最后别忘了点release.bat 还有别忘了,git clone --recursive 这个命令 需要有特别好的网络环境才能完整的clone下来,因为里边有很多模块下载,如果网络环境差一点的,可以考虑一个一个点开模块单独下载放进对应文件夹.
新手福利——x64逆向基础
任鸟飞2217777779的博客
02-20 3672
此时的寻址方式并不是以rsp为基地址来传递局部变量和参数,那么如果我们想知道一个rbp+xxxx是局部变量还是参数,就需要到头部去进行一个相对复杂的运算,比如图中的rcx来源rbp-59,虽然我们明知他是一个局部变量(因为前面是lea),但是我们也要到头部去算一算,-59-5F= -B8,在头部的地址是rsp-B8,也就是说他是一个局部变量。虽然在x64程序中,我们默认的前4个参数是rcx-r9,但是也有例外,如果我们传递的参数是浮点型的话,那么传入浮点数的参数则会使用xmm0-xmm3来代替。
动态调试和分析(OD和X64DBG
最新发布
m0_72827793的博客
02-23 988
一般情况下,由于已有栈的内容是不应更改的,简单的壳会选择将这样的信息压入栈(在栈上开辟新的空间),x86的汇编指令pushad可以轻松地将所有寄存器一次性压入栈,UPX也是使用了同样地方式,被形象地称为”x64DBG和OD的布局相同,左上区域为反汇编结果的显示区域,左下角区域为浏览器内存数据的区域,右下角区域为栈数据的显示区域,右上区域为寄存器的显示区域。实际上,这是一个将栈空间向上清零0x80长度的循环,并不是真实的程序代码,后面紧跟着一个向前的较远的跳转,这样跳到原代码的跳转。
x64dbg / x32dbg
11-27
我用来调试一个应用程序运行时缺少哪些库
APISearch-Plugin-x64:APISearch插件(x64)-x64dbg的插件
04-30
APISearch插件(x64)-x64dbg的插件 有关此插件的x86版本,请访问 概述 一个允许搜索API调用和/或从命令栏在线搜索的插件 特征 在反汇编窗口中在线搜索API调用(以“ call”开头的行) 使用google,msdn或pinvoke从命令栏搜索,即:“ google” 打开Web浏览器以访问google,msdn或pinvoke,即:“ msdn”在msdn.microsoft.com上打开浏览器 如何安装 如果当前正在运行x64dbgx64dbg 64位),请停止并退出。 将APISearch.dp64复制到x64dbg\x64\plugins文件夹中。 启动x64dbg 信息 由撰写 使用 RadASM项目(.rap)用于管理和编译插件。 RadASM IDE可以在下载 该插件的x64版本使用 要构建此x64版本,还需要。 x64dbg x64db
cpp-x64dbg一个用于windows的开源x64x32调试
08-15
一个用于windows的开源x64/x32调试
x64dbg使用手册
01-16
x64dbg使用手册,官方文档整理成的chm文件,新手入门可以看看
[x64dbg] 实战01 - 参数打印/修改参数内容(条件断点、命令、脚本)
kinghzking的专栏
01-13 6891
文章目录导读参数打印/修改参数 - 界面方式参数打印 - 日志参数(红色)修改参数 - 命令参数(绿色)参数打印/修改参数 - 脚本方式参考资料 导读 x64dbg是小编目前用的最多的windows调试器了,可以说是不得不用,因为64位调试器,也就它好用了,以前的神器OD没有更新,出现的各种问题,让人头痛不已,弃之。 另外x64dbg也的确有很多优点: 开源!!! 更新频率高,兼容最新操作系统 各种操作页面(内存、符号、线程、源码……) 支持插件、命令、脚本(Python) x64dbg的资料不多,使用
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6727
使用x64dbg调试dll程序 这笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
使用x64dbg分析微信聊天函数并实现发信息
weixin_34061042的博客
03-23 653
1.引言 我们知道微信现在不光在手机上很常用,在电脑也是非常常用的,尤其是使用微信联系客户和维护群的人,那这个时候每天都会定期发送一些信息,如果人工操作会很累,所以自动化工具是王道,本节就使用x64dbg让你看看怎么完成发消息。本节完整源码在github:https://github.com/15pb/wechat_tools 2. 网络协议分析模型 首先我们讲一些理论知识,在开发中,网络通信的协...
1.1 熟悉x64dbg调试
热门推荐
CSDN
07-06 1万+
x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。x64dbg官方地址:https://x64dbg.com/x64dbg和Ollydbg虽都是Windows。
x64dbg(最新snapshot集合多个插件及皮肤)
11-24
x64dbg懂的人知道是做什么用的,不懂的就不懂了,不做细说
x64dbg.rar
03-21
x64的dbg 是一款开源的(偶尔在网上找的) 该调试器(目前)有三部分:DBG、GUI、Bridge。 DBG 是调试器的调试部分。它处理调试技术(使用 TitanEngine),并为 GUI 提供数据。 GUI 是调试器的图形部分。它建立在 Qt 上,并提供用户交互界面。 Bridge 是 DBG 和 GUI 部分的通信库(将来也许是在更多的部件之间)。Bridge 可用于在新建功能上工作,而无需更新代码的其他部分。 (侵权即删)
X64 DBG(2018-12-30版).zip
07-03
X64 DBG(2018-12-30版)
x64dbg 20180902
09-24
最新的x64dbg ,支持x64 x32调试,更新频繁,有超越od的可能性
x64dbg-Plugin-Manager:x64dbg的插件管理器
04-09
x64dbg插件管理器 控制台示例 x64plgmnrc.exe -G“ C:\ x64dbg_root” //设置x64dbg的根路径 x64plgmnrc.exe -U //服务器更新列表 x64plgmnrc.exe -S //显示插件列表 x64plgmnrc.exe -i x64core //安装最新版本的x...
VS 配置管理器 debug_release,X86_X64,生成_部署
qq_44452887的博客
04-20 1569
VS提供了这一功能。在重新生成这个项目,项目文件目录会有Release文件,里面的exe就是生成的。1)运行时库:Debug版本采用了一些保护机制来帮助发现错误,Debug版本的Runtime Liabrary(运行时库)加强了错误检测,应当指出,如果Debug有错误,而Release版本正常,程序肯定是有 Bug的,只是我们还没有发现。在汇编的层次上,X86与X64的寄存器长度不同(CPU同时处理的数据位数不同),同理寻址范围也相差很大,指令集也不一样。long的长度不同,X86是4B,X64是8B。
x64dbg零基础使用教程
qq_43505188的博客
01-17 2841
我们刚才已经看到了,这个函数第一个参数是"Array *",表示指向了一个字节数组,这里的"unsigned char"等同于C#/VB.NET中的"byte",而不是C#/VB.NET中的"char"x64dbg没有加载选项,可以点"下载此模块的符号信息"(要加载所有符号文件可以点"下载所有模块的符号信息")右边显示了dll自身导出的函数和符号文件导出的函数,左键单击这里的函数,按下F2,是可以下断点的。不是打广告,是这个插件真的很好用,调试体验极佳(用作者的推荐设置)
高通平台下,判断USB接口与UFS接口共享同一条总线,查看/sys/kernel/debug/msm-bus-dbg/shell,但是并没有找到这个文件
06-13
在高通平台中,msm-bus-dbg/shell文件在某些情况下可能会被禁用或没有启用。你可以先检查一下你的设备树,看看是否有启用该文件的节点。如果没有启用,你可以在设备树中添加该节点并启用它。 如果你已经确认设备树中已经启用该节点,但是该文件仍然不存在,你可以尝试重新编译内核并启用CONFIG_QCOM_BUS_DEBUG_SYSFS选项。这个选项控制是否启用msm-bus-dbg/shell文件。如果该选项没有启用,该文件将不会出现在/sys/kernel/debug/目录下。 最后,如果你的设备是运行Android系统的话,你可能需要先root你的设备才能查看/sys/kernel/debug/目录下的文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值