x64dbg问题记录

梦幻的彼岸

时间：日期



问题：x64dbg保存调试数据（软件主题未修改，在调试器中重新运行也还是保存调试数据：修改汇编指令），如何清除保存的调试数据

• 猜测：插件干扰:已验证为插件干扰
• 已解决，已找到源头，但仍在研究问题出现原因
  

• 主要影响源为AutoExportPatches.dp32：删除改插件去除影响
• 但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响，在次调试仍会出现保存调试记录现象,比较绕换一个说法：
• 表象：AttachHelper.dp33
• 核心：AutoExportPatches.dp32
• 在插件中只显示表象信息，核心无显示，如下图
• 问题：保存调试数据，无法清除，重新运行程序(Ctrl F12)或重新载入程序，仍会调用上次调试的数据，但他没有修改主程序，只是把调试记录保存，让x64dbg调用
• 表象与核心同时存在，会导致问题出现，删除表象，调试记录删除（不要开心的太早)也不显示存在插件，在次调试，例如更改数据89 75 为 89 00，重新运行程序(Ctrl F12)或重新载入程序后调试仍存在，删除核心保留表象，显示插件，但问题已不存在，同时删除表象与核心，问题消失
• 附件备份
  

问题：x64dbg如何查看数据地址常量

• 已解决：右键-查找引用-地址
• x64dbg与OD地址常量显示对比
•    
  

问题：保存修补文件时失败
已解决：复制源程序并copy到桌面，修补copy的程序(源程序所在文件夹属性为受保护状态，需管理员权限才可进行操作)
备注：如何保存修补文件，在补丁模块，快捷键CTRL P ，在文件或内容区域右键可见


问题：在相同设置下，相同的插件不同的系统运行程序自动断点不同

[Asm] 纯文本查看 复制代码

00007FFC7A7DFC20 | 83FA 02                  | cmp edx,2                               |

[Asm] 纯文本查看 复制代码

000007FEFD15A49D | 48:81C4 C8000000         | add rsp,C8                              |

问题：如何转到指定地址
当通过一些其它辅助软件或收集到的信息，知道了关键的判断地址，想转到此地址如何操作：
汇编窗口右键-转到-表达式或快捷键Ctrl G,在输入框内输入要转到的地址即可

smallhorse

同问，坐等表哥解惑！

哥又回来了

@梦幻的彼岸
StepInt3是个啥玩意？能不能传个耍 耍 ？

梦幻的彼岸

哥又回来了 发表于 2020-5-28 08:55
@梦幻的彼岸
StepInt3是个啥玩意？能不能传个耍 耍 ？

功能：解决int3断点异常
来源：GitHub项目-https://github.com/mrfearless/x64dbg-Plugin-SDK-For-x86-Assembler
插件备份：

yjd

补丁方面确实没od方便。od是默认保存就自动修改并自动备份一份。
x64每次都得令我拷贝一份再去patch
然而这么多年好像也没人改进这个插件