梦幻的彼岸 发表于 2020-5-27 23:40:30

x64dbg问题记录

本帖最后由 梦幻的彼岸 于 2021-3-10 13:51 编辑

时间:日期
static/image/hrline/1.gif


问题:x64dbg保存调试数据(软件主题未修改,在调试器中重新运行也还是保存调试数据:修改汇编指令),如何清除保存的调试数据

[*]猜测:插件干扰:已验证为插件干扰
[*]已解决,已找到源头,但仍在研究问题出现原因

[*]
[*]主要影响源为AutoExportPatches.dp32:删除改插件去除影响
[*]但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响,在次调试仍会出现保存调试记录现象,比较绕换一个说法:
[*]表象:AttachHelper.dp33
[*]核心:AutoExportPatches.dp32
[*]在插件中只显示表象信息,核心无显示,如下图
[*]
[*]问题:保存调试数据,无法清除,重新运行程序(Ctrl F12)或重新载入程序,仍会调用上次调试的数据,但他没有修改主程序,只是把调试记录保存,让x64dbg调用
[*]表象与核心同时存在,会导致问题出现,删除表象,调试记录删除(不要开心的太早)也不显示存在插件,在次调试,例如更改数据89 75 为 89 00,重新运行程序(Ctrl F12)或重新载入程序后调试仍存在,删除核心保留表象,显示插件,但问题已不存在,同时删除表象与核心,问题消失
[*]附件备份
问题:x64dbg如何查看数据地址常量

[*]已解决:右键-查找引用-地址
[*]
[*]x64dbg与OD地址常量显示对比
[*]   
问题:保存修补文件时失败
已解决:复制源程序并copy到桌面,修补copy的程序(源程序所在文件夹属性为受保护状态,需管理员权限才可进行操作)
备注:如何保存修补文件,在补丁模块,快捷键CTRL P ,在文件或内容区域右键可见


问题:在相同设置下,相同的插件不同的系统运行程序自动断点不同

00007FFC7A7DFC20 | 83FA 02                  | cmp edx,2                               |

000007FEFD15A49D | 48:81C4 C8000000         | add rsp,C8                              |
问题:如何转到指定地址
当通过一些其它辅助软件或收集到的信息,知道了关键的判断地址,想转到此地址如何操作:
汇编窗口右键-转到-表达式或快捷键Ctrl G,在输入框内输入要转到的地址即可



smallhorse 发表于 2020-5-28 07:28:44

同问,坐等表哥解惑!

哥又回来了 发表于 2020-5-28 08:55:23

@梦幻的彼岸
StepInt3是个啥玩意?能不能传个耍 耍 ?

梦幻的彼岸 发表于 2020-5-28 09:29:30

哥又回来了 发表于 2020-5-28 08:55
@梦幻的彼岸
StepInt3是个啥玩意?能不能传个耍 耍 ?

功能:解决int3断点异常
来源:GitHub项目-https://github.com/mrfearless/x64dbg-Plugin-SDK-For-x86-Assembler
插件备份:

yjd 发表于 2020-5-31 00:07:23

补丁方面确实没od方便。od是默认保存就自动修改并自动备份一份。
x64每次都得令我拷贝一份再去patch
然而这么多年好像也没人改进这个插件
页: [1]
查看完整版本: x64dbg问题记录