x64dbg基本使用技巧

x64dbg 基本使用技巧

最近使用 DBG 多了起来，所以查了一些资料来学习并整理成自适应的笔记。

本文摘抄自：x64dbg 使用技巧与实用插件合集

官方网站： https:///

DBG 根目录内容

DBG 解压后根目录如下图，双击 x96dbg，出现三个弹窗，会生成 x96dbg.ini 文件，里面记录着 32 位和 64位 dbg 程序的路径。
当你需要把整个程序文件夹移动到其他路径时，最好把这个 ini 删除，重新双击让它再生成。当你需要把它加到发送到菜单中的时候，也推荐添加 x96dbg，它会自动选择用 x32 还是 x64dbg 打开。

选项设置

外观

• 字体大小调整 选项——外观——字体——最右边那个数字（图右）（我个人用12）
• 主题选择 选项——主题——选择你喜欢的（图左）。
  

事件：
勾选入口断点则第一次暂停于主模块入口点，其它根据调试情况具体定之。

引擎：
保持默认即可，需要特别说明的是禁用数据压缩和将数据保存于应用程序目录，所指的数据是指调试相关数据，默认保存在调试器 db 文件夹下，所以 db 文件夹下有很多数据文件，需要时可及时清理。

调试引擎选项里的 GleeBug，据作者以前博客内容说是跟踪速度会比默认的 Titan 快很多，但我试了没什么感觉。

异常：
暂时未懂，保持默认

反汇编：
仅在 CIP 处显示自动注释——勾选之后界面会更整洁，该有的自动注释也还是有的，自行体验取舍

模块名最长长度——默认 -1 不限制，如果遇到比较长的文件名，调试起来界面观感会比较差，OD 的限制长度为 8，自行取舍。

值前加 0x 前缀—— x64dbg 里默认以 16 进制显示数值（不显示 0x），如果你需要表示十进制，可以在前面加点，汇编里输入加点 10 进制需要设置 XEDparse 引擎。
当然如果直接勾选改选项那直接输入 10 进制数即可。

图形界面：
图形缩放模式——这里指的是 x64dbg 流程图功能 是否支持缩放，勾选后流程图操作体验会稍微接近 IDA。

杂项：
可以将搜索引擎改为百度：https://www.baidu.com/s?wd=@topic 遇到不认识的函数选中，右键，符号名称帮助，直接进行查询。

使用技巧篇

收藏夹参数：（参数加在路径后面表示选择或替换当前程序的分析）
%PID%：
如果你在工具的命令行添加 %PID%，它将被调试对象(如果不进行调试或 0 )的(十进制) PID 替换。

%DEBUGGEE%：
如果你添加 %DEBUGGEE%，则它将添加调试对象(不带引号)的完整的路径。

%MODULE%：
如果你添加 %MODULE%，则将添加在当前反汇编中模块(不带引号)的完整路径。

%-????-%：
如果你添加 %-???-%，则它将执行无论你放在何处的 ??? 字符串格式。示例：%-{cip}-% 将会用 cip 的十六进制值替换。

应用举例：
“D:\逆向小型工具集\010Editor\010Editor.exe”%DEBUGGEE% 会添加我的 010Editor 工具（记得路径加双引号），然后把收藏夹——收藏工具箱选上。点击 010Editor.exe 图标，将会启动并且分析当前在调试的模块。
但是如果不加上参数 %DEBUGGEE% 就只是单纯打开 010Editor，里面并没有分析当前程序。

流程图：
在反汇编窗口按下 G 键切换到流程图，再按 G 回来。建议配合图形缩放模式设置，可以用 Ctrl+ 滚轮进行缩放。
右键点击脱离后，可以与反汇编窗口同时使用，而且热键 G 在流程中也是在反汇编窗口中转到，所以可以关联着来看。

Ctrl+G 跳转到
可以直接输入 API，会自动补全。默认是输入 VA，如果要输入 RVA 需要这样： :$RVA（注意这个冒号要带上）

举例：
输入 :$0 跳到基址处

如果需要输入 FOA 可以这样：
:#FOA 或者按下 Ctrl+Shift+G 再输入 FOA，但是这需要有文件字节码信息的一个对应，这里暂时没需求。

按热键 H 进入高亮模式，高亮显示所有相同的内容：
此时单击需要高亮显示的内容即可高亮显示，再次按下 H，点击空白处可以取消。（也可以设置一直启用高亮，但有误点的问题）

数据库：
遇到过几次 x64dbg 数据丢失，写了很多注释就没了，这种情况千万不要慌张，因为你每次关闭 x64dbg 自动保存的时候，都会把上次的数据文件做备份 (.bak)，这时候可以试着点击还原备份数据库。

x64dbg 计算器：
个人觉得比系统自带计算器好用，可以一边调试一边计算（非模态+置顶），不用切来切去，支持 x64dbg 的各种表达式。

右键——显示指令提示：
会显示汇编指令对应的解释，对于初学者很有帮助，有一个王苏汉化的版本，是将这些帮助文本也完全汉化了的。（自行搜索）

文件菜单——改变命令行
可以支持带参数调试。（暂时没理解干什么用的）

复制各种格式的数据：
选中你要的部分——右键二进制——编辑——复制数据

少数情况下 64 位系统使用 x64dbg 调试 32 位程序界面卡顿问题
这个问题很玄学，我遇到了，搜了网上也有一个朋友遇到过，我身边的同学也有极少数遇到的，这里给出解决方法。

x32dbg.exe ——右键属性——兼容性——调成 Windows 7 （那个遇到同样问题的博主是这么解决的）

但是我这么设置后还是卡顿，后来装了个叫 xAnalyzer 的插件，又恢复了。（我的情况是这个插件和兼容性设置缺一不可，不然就会卡顿，非常奇葩，重装了系统还是一样，在此做个记录，防止有人再遇到）

ESP 硬件断点
寄存器窗口空白处右键

自动跟踪：
右键——追踪记录——启动运行跟踪——点击菜单栏 跟踪(N)——步进\步过直到条件满足。

在暂停条件或者命令里类似这样设置：eip/rip==要跟踪到的地址，接着就可以在跟踪窗口查看跟踪结果了。

切换XX：
切换断点、切换书签，这类命名在最初给我带来了一些困扰和误解，后来发现切换的意思就是 设置/取消设置。点一下是设置，再点一下就取消设置，所以命名为切换。

这里顺带一说，x64dbg 的搜索结果，内存窗口，跟踪结果，几乎所有带地址的地方，都是支持直接 F2 设置断点的，各位可以多加利用提高效率。

插件推荐篇：

介绍一点常规的插件，插件放在 release\x32 或者 x64\plugins 目录下，以 .dp32 或 .dp64 结尾）

Scylla（脱壳与导入表修复）：

自带的插件，个人觉得比 OD+ImpREC 更方便快捷

常见的脱壳流程：
x64dbg 停在需要脱壳的地址上，点击 Scylla 的图标启动，会自动为你设定 IAT info 里的 OEP 为当前地址，点击 dump。

修复导入表：
点击 IAT Autosearch，有可能提示——高级搜索结果和普通搜索结果不同，是否使用高级搜索结果。一般都选是，接着点 Get Imports，自动获取需要修复的函数。
（有时会遇到高级搜索反而搜不到的情况，这时候可以试试点否之后再点 Get Imports）
确认结果无误后点 Fix Dump，选中刚才 Dump 出的文件，最终便会生成 SCY 结尾的修复好的文件。

.
.

xAnalyzer（代码分析辅助）

插件项目地址： https://github.com/ThunderCls/xAnalyzer

该插件对调试程序的 API 函数调用进行检测，自动添加函数定义，参数和数据类型以及其他补充信息，安装以后可以让 x64dbg 与 OllyDbg 的使用体验更接近。

效果如图，可以在插件菜单里把自动分析（Automatic Analysis）打开。我个人不喜欢插件自动添加很多注释，会让页面看起来很乱，所以一般在需要分析的时候通过右键菜单来让它分析当前函数。


.
.

SwissArmyKnife（导入Map文件）

项目地址： https://github.com/Nukem9/SwissArmyKnife

我自己没用过 map 文件分析，原博客原话是分析 C 程序的时候用 IDA 生成 MAP 文件，然后用这个插件加载。分析 delphin 程序推荐用 Interactive Delphi Reconstructor 先分析，再生成 MAP 文件用，还有其他程序也同样。MAP 文件可以让你的分析进度大大加快，减少分析一些已知的库函数。
.
.

x64dbg_tol（中文搜索支持）

项目地址：https://bbs./thread-261942-1.htm

必装插件，虽然官方在某个版本开始改善了对中文的支持，但他们在博客上也说了，可能会不全，建议自行安装插件。我自己测试了，嗯，他们说的没错。装了这个插件就能搜到之前搜不到的中文字符串了。

.
.

ScyllaHide（反反调试）

项目地址： https://github.com/x64dbg/ScyllaHide
使用方法也很简单，插件菜单——Options——Loaded里可以选择自带的绕过方案（过一般的反调试可以用 Basic 甚至直接用自带的 调试——高级——隐藏调试器）

举例简单的 IsDebuggerPresent 反调试：



.
.
听说 VM3.x 的反调试可以用自带的 VM 方案直接过掉，反而 OD 的 StrongOD 插件不行。（目前我自己还没复现）

.
.

Ret-Sync （IDA x64dbg\OD 同步调试插件）

项目地址： https://github.com/bootleg/ret-sync
使用方法详解： https://bbs./thread-252634.htm

可以让 IDA 和 x64dbg\OD\windbg 进行同步调试，支持在 IDA 中直接进行单步、下断点、运行等操作，x64dbg 将会与IDA保持同步，提高你调试效率的神器，关于安装、使用说明可以参考官方 github 说明（更详细）和看雪的帖子。

我自己复现了一下发现暂时自己不需要，因为它只能 IDA7.0，这个版本太老了，然后就是非要 x64dbg 操作的分析我目前还没这个需求，所以先不深究了。




.
.

E-ApiBreak（常用断点设置）

项目地址：https://www.52pojie.cn/forum.php?mod=viewthread&tid=1384349

OD 上常用的 ApiBreak 插件，现在 x32dbg 也有了，但是 x64dbg 目前没有发现，就是全局中具体设置断点的一个工具。

.
.

E-Debug（分析易语言程序必备）

项目地址： https://www.52pojie.cn/forum.php?mod=viewthread&tid=1374290
原作者： githubhttps://github.com/fjqisba/E-debug-plus

该可以让分析易语言的效率倍增，OD 上有该插件。现在有人移植到 x32dbg 了，打开后会自动识别易语言库函数并且注释。（我自己没有 32 位易语言程序，所以没法复现）

没分析前：
（图片出自：https://www.52pojie.cn/forum.php?mod=viewthread&tid=1374290）

分析后：
（图片出自：https://www.52pojie.cn/forum.php?mod=viewthread&tid=1374290）


.
.

HotSpots（用来寻找事件断点）

项目地址： https://github.com/ThunderCls/xHotSpots

下拉框选择对应语言，按下按钮可以在按钮事件处理函数下断点。(我没用过，所以也是没复现，下图也是出自原博客的)

.

快速提取选区特征码和特征码搜索功能（当然你也可以用 Ctrl+B 搜特征码）