x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。
x64dbg官方地址:https://x64dbg.com/
x64dbg和Ollydbg虽都是Windows平台上的调试器工具,但它们有一些不同之处:
在学习使用该工具之前第一步则是要安装软件,x64dbg调试器的安装很容易,读者只需要前往x64dbg的官方开源仓库中找到下载按钮。
以Github仓库为例,读者需访问https://github.com/x64dbg/x64dbg/releases并在其中找到所对应的snapshot_2023-03-04_02-26.zip版本点击下载即可;
下载好以后解压这个压缩包,读者会看到两个文件夹,其中pluginsdk代表的是x64dbg的开发工具包,如果需要开发自定义插件则需要引入该工具包,而release则是编译版本的x64dbg本体,打开release文件夹读者会看到如下图所示的目录结构,其中x32/x64分别代表的是两种架构的调试器,而如果用户需要安装调试器到系统内只需要点击x96dbg.exe并依次点击下一步即可完成调试器的安装;
不同于OllyDBG调试器,x64dbg默认就支持两种调试模式,通常读者可以选择使用打开文件的方式调试程序,也可以直接附加到一个已经存在的进程上调试同时支持脱离进程,需要注意的是为了保证最佳的调试效果,调试器的打开请读者使用管理员方式运行。
当用户需要打开调试程序时,可以通过菜单"文件"->"打开"(或者按下快捷键F3),会弹出如下图所示的打开文件对话框,默认对话框会停留在x64dbg软件的根目录,此时通过选择所需调试的进程即可打开调试;
第二种调试方式则是直接附加到一个已经存在的进程上,可以通过菜单"文件"->"附加"(或者按下快捷键Alt+A)会弹出如下图所示的附加对话框,读者只需要选中一个正在运行的程序即可附加到特定进程内,当用户调试结束后可通过Ctrl+Alt+F2脱离进程;
当被调试程序与调试器之间建立调试关系以后,就可以开始进行动态调试分析了,在x64dbg中有许多的窗口,例如CPU窗口,寄存器窗口,堆栈窗口,十六进制窗口等,如下图所示则是x64dbg运行后的主界面;
这里增加一个知识点,关于动态反汇编调试与静态反汇编调试的区别:
如上图所示,当调试器运行后最大的窗口则是CPU窗体,CPU窗体是x64dbg的默认主窗口,用户所有的调试工作都在CPU窗体中完成,因为CPU窗体就是用于反应当前CPU以及寄存器执行状态的,CPU窗体其内部包含了五个子窗口,分别是反汇编窗口,寄存器窗口,栈地址窗口,十六进制数据窗口,以及堆栈参数解析窗口。
(1)反汇编窗口
反汇编窗口是x64dbg的一个主要功能之一,它可以显示被调试程序的汇编指令,并允许用户查看和修改这些指令(需要注意的是当一个进程被加载默认EIP会停在系统模块中),其主要的作用包括;
(2)寄存器窗口
寄存器窗口则是在调试器最右侧的顶端,该窗口用于显示和解释当前线程环境下CPU寄存器的各种状态值和内容,并且读者可以通过双击这些寄存器组来对其进行动态的调整参数;
寄存器 | 描述 |
---|---|
EAX | 通用寄存器,用于存放函数返回值、算术运算结果等。 |
EBX | 通用寄存器,用于存放内存地址或其他通用数据。 |
ECX | 通用寄存器,用于存放函数参数。 |
EDX | 通用寄存器,用于存放内存地址或其他通用数据。 |
ESI | 通用寄存器,用于存放源数据的地址,例如字符串拷贝等操作。 |
EDI | 通用寄存器,用于存放目标数据的地址,例如字符串拷贝等操作。 |
EBP | 基址指针,用于存放当前栈帧的基址。 |
ESP | 堆栈指针,用于存放当前堆栈顶部的地址。 |
EIP | 指令指针,用于存放当前正在执行的指令的地址。 |
EFLAGS | 标志寄存器,用于存放CPU的状态标志,例如进位标志、零标志、符号标志等。 |
其中标志寄存器(Flag Register)是一个16位的寄存器,用于存储CPU运算的状态标志,例如进位标志、零标志、符号标志等。下面列出了x86架构CPU中的标志寄存器以及它们的含义:
标志位 | 中文名称 | 描述 |
---|---|---|
CF | 进位标志 | 当无符号整数加法或减法的结果超出了寄存器的宽度时,该标志位会被设置为1。CF=1表示有进位发生,CF=0表示无进位发生。 |
PF | 奇偶标志 | 当一个操作的结果中有偶数个二进制位为1时,该标志位会被设置为1。PF=1表示结果中有偶数个1,PF=0表示结果中有奇数个1。 |
AF | 调整标志 | 当一个二进制算术操作(例如加法或减法)中低4位产生了进位或借位时,该标志位会被设置为1。AF=1表示有进位或借位发生,AF=0表示无进位或借位发生。 |
ZF | 零标志 | 当一个操作的结果为零时,该标志位会被设置为1。ZF=1表示结果为零,ZF=0表示结果不为零。 |
SF | 符号标志 | 当一个操作的结果为负数时,该标志位会被设置为1。SF=1表示结果为负数,SF=0表示结果为非负数。 |
TF | 陷阱标志 | 该标志位用于单步调试,当TF=1时,CPU会在每个指令执行后暂停并等待调试器的命令。 |
IF | 中断标志 | 该标志位用于控制CPU是否响应中断请求。当IF=1时,CPU允许中断请求;当IF=0时,CPU禁止中断请求。 |
DF | 方向标志 | 该标志位用于控制字符串操作的方向,当DF=1时,字符串操作是从高地址向低地址进行的;当DF=0时,字符串操作是从低地址向高地址进行的。 |
OF | 溢出标志 | 当有符号整数加法或减法的结果超出了寄存器的宽度时,该标志位会被设置为1。OF=1表示有溢出发生,OF=0表示无溢出发生。 |
(3)堆栈窗口
堆栈窗口用于显示当前线程的栈,栈是一种后进先出(Last-In-First-Out,LIFO)的数据结构。堆栈窗口会随着ESP(Extended Stack Pointer)寄存器的变化而变化,ESP指向当前栈顶元素的地址。堆栈窗口可以显示栈帧、函数调用和局部变量等信息,这对于调试和优化程序非常有用。此外,堆栈窗口还可以允许用户修改栈上的数据,这对于调试和修复程序中的错误非常有用,但需要小心操作,以避免引入新的错误。
堆栈窗口有两个重要的作用,一个是用于调用函数时的参数传递,另一个作用是函数内部的变量局部空间,函数内定义的变量和临时变量都存储在堆栈中,当函数返回时,这些变量会自动销毁。堆栈窗口可以帮助程序员查看函数内部变量的值和状态,从而更好地理解程序的行为和调试错误。
(4)十六进制窗口
在x64dbg最左侧底部则是十六进制窗口,该窗口的主要作用适用于浏览内存,或在特定区域读入或写出数据时使用,在某些时候还可以用来在特定内存区域下断点,以下是一些关于它的主要作用:
除了以上这些功能外,十六进制窗口还可以显示与特定内存地址相关的汇编代码,并提供许多其他的操作选项,例如搜索内存、转换数据格式等等。
(5)掌握常用快捷键
熟练掌握x64dbg的快捷键可以使调试和分析工作更加高效和快速。x64dbg提供了丰富的快捷键选项,让用户在操作时可以尽可能地减少鼠标操作,更专注于代码和调试数据的分析。通过掌握快捷键,可以更快速地执行调试命令、添加或删除断点、修改寄存器、查找内存等操作,从而提高调试和分析的效率。因此,熟练使用x64dbg的快捷键是成为一名高效的调试和分析人员的必备技能之一,以下是x64dbg所支持的快捷键分类,读者可更具自己的实际情况学习掌握;
调试控制
断点
寄存器
内存
动态分析
其他
注意:以上快捷键是x64dbg的默认设置,您也可以通过"选项"菜单中的"快捷键"选项来自定义快捷键。
断点机制是调试器的重要功能,x64dbg为调试着提供了多种调试断点,通常包括了软件断点,硬件断点,内存断点,一次性断点,条件断点,消息断点等,熟练使用断点是调试程序的基本技能,断点通常可被总结为如下;
(1)软件断点
在程序执行到特定指令时暂停程序执行。这种断点类型是由调试器模拟实现的,通常通过修改程序指令来实现。它是最常见的断点类型,因为可以在任何代码段中设置断点。
在x64dbg中,调试这可以通过F2快捷键在所需下断点的位置下断,当该位置被下断点后,则调试器会以红色标注,而当前EIP指针则会使灰色显示,如下图所示;
此外软件断点同样可以使用bp/bpx等命令下断,或通过bc来取消断点,当读者需要在特定函数上下断点时,可通过Ctrl+G调出地址跳转表达窗口,并输入如MessageBoxA等函数,跳转后手动下断点。
亦可在命令窗口输入bp MessageBoxA自动下断点,断点可在断点选项卡中看到该断点的详细参数;
(2)硬件断点
与软件断点不同,硬件断点是通过修改特定的处理器寄存器来实现的,这些寄存器用于跟踪指令地址和数据访问地址。硬件断点通常比软件断点更快,但是受到硬件限制,可以在某些情况下设置的数量有限。
在x64dbg中,硬件断点可以分为三种类型:硬件执行断点、硬件读取断点和硬件写入断点。以下是每种类型的解释:
(3)内存断点
当程序在特定内存地址处读取、写入或执行时,暂停程序执行。这种断点类型通常用于检测内存访问错误或跟踪特定变量的更改。而一次性断点则是在程序执行到特定指令时只触发一次。这种断点类型通常用于调试复杂代码中的问题,而不是在每次执行到指令时都触发断点。
在x64dbg中,内存断点可以根据不同的操作类型进行分类,内存断点被分为内存访问,内存执行,内存写入,内存读取等,他们之间的应用各不相同;
(4)消息断点
x64dbg消息断点(Message Breakpoint)是一种特殊类型的断点,可以用于监视程序执行期间的Windows消息,包括键盘输入、鼠标操作、窗口消息等。当程序接收到指定类型的消息时,消息断点会触发,程序执行会暂停,以便进行调试。
消息断点在调试GUI程序时非常有用,可以帮助调试窗口消息的处理代码,定位程序中的错误或异常行为。例如,当你想要调试一个窗口消息处理函数时,可以在该函数上设置消息断点,当程序接收到对应的消息时,程序会暂停在该函数内部,方便进行调试。
(1)反汇编调试命令
在前面的章节中笔者介绍了x64dbg的窗口以及断点的基本设置方法,接下来将介绍x64dbg中的代码跟踪,代码跟踪是任何一个调试器的核心功能,一般而言跟踪功能都会包括,单步步过(快捷键F8),单步步进(快捷键F7),运行到返回(快捷键Ctrl+F9),以及运行到用户代码(Alt+F9快捷键)等常用功能。
在x64dbg中进行代码跟踪可以帮助我们分析程序的执行过程和调试代码,以便更好地理解程序的运行机制。下面是一些常用的代码跟踪功能,及对该功能的解析:
(2)反汇编检索命令
在x64dbg中,读者可通过Ctrl+F快捷键命令调出命令搜索窗口,并输入一条反汇编指令集,即可实现检索模块内具备的命令位置,当用户勾选整块搜索时,x64dbg会搜寻整个进程内所有匹配的命令,比较遗憾的是x64dbg目前还不支持搜寻多条指令集;
虽然无法搜索连续的汇编指令集,但却可是搜寻二进制字符串,通过快捷键Ctrl+B读者可打开二进制搜索框,我们以如下这条命令为例;
打开二进制搜索框,输入8B FF 55 8B EC即可用于检索上方的指令片段,也算是一种折中的方法;
同时x64dbg还支持搜索字符串,通过右键菜单即可调出搜索框,并实现特殊字符串的检索;