网站 › 『脱壳破解讨论求助区』 › 求助：x32dbg的trace功能的疑问

朱朱你堕落了 发表于 2023-5-1 10:42

求助：x32dbg的trace功能的疑问

问题我在这个贴子里提问过了，现在还没有解决：https://www.52pojie.cn/thread-1776590-1-1.html

两个一起结贴，是x32dbg版本的问题，还是一直都有这个问题，看雪上那个贴子里是如何解决的，他怎么就能复制出来或是说导出来的？
毕竟导出来，搜索肯定比在x32dbg里方便很多啊。如何解决这个问题？

lies2014 发表于 2023-5-1 10:42

朱朱你堕落了 发表于 2023-5-2 08:38
@lies2014
老哥看看这个问题，一直卡在死循环里，是不是设置的问题，如果你测试，你自己用的x32dbg不在那 ...

这个不是死循环，repe scasd本来就是一个循环，其实寄存器那一栏已给出了关键寄存器的变化值，你看看ecx一直在减而edi一直在增，跳出循环的条件就是edi指向的DWord等于eax或ecx等于0，只要没停止循环，当然会执行一次记录一条啊。
trace遇到循环可能会耗费很多时间，如果不想等待可以退出从循环后再trace。
还有trace的记录除可以转csv外，也可以选中多行复制出来（选中第一条后用Shift+鼠标左键选最后一行），我一般多行复制后粘贴到UltraEdit，用列模式删除不需要的列，就可以得到everedit里打开一样的效果，其实csv也一样（csv就是以逗号为分隔符的文本），用execl打开删掉不需要的列就可以了。

成熟的美羊羊 发表于 2023-5-1 11:33

x32Dbg的trace支持导出csv文件。中文翻译有点怪，叫导出表。

朱朱你堕落了 发表于 2023-5-1 11:46

成熟的美羊羊 发表于 2023-5-1 11:33
x32Dbg的trace支持导出csv文件。中文翻译有点怪，叫导出表。

在哪里啊，麻烦给个位置或截图，没有找到。csv文件是加密过的还是没有加密过的？

冥界3大法王 发表于 2023-5-1 11:57

本帖最后由 冥界3大法王 于 2023-5-1 12:39 编辑


之后的版本可以导出为CSV格式的
在EmEditor这样的编辑器中


[*]这里看起来欠缺层次感
[*]并且导出之后的相互关联被破坏了，脱离调试器之后例如你不能从一个地方再跳转到另一个地方
[*]你注意观察上面的调试器，就会发现，原先QT Creator中编译输出的x32dbg/x64dbg是支持富文本的。
       编程时没有考虑到使用颜色图表的方式呈现

[*]左面虽然有序号，但右面的注释中却没有给你标注。虽然转过去了，但是注释却没有给你加上。
[*]这里有打开的工具https://github.com/teemu-l/execution-trace-viewer
       感觉这个工具简直就是DDMS的复刻版啊。。。
https://cdn-0.securityonline.info/wp-content/uploads/2019/06/etv.png?ezimgfmt=ng:webp/ngcb1

但是这玩意需要python 3.6，不然真安不上吧？不少外国揍的插件基本都这样的，还是国人开发的那款强啊。

[*]*.trace32和 *.trace64 的跟踪记录还可以进行对比的；
官方有两种说法：

[*]第1种它说叫你整个复制出去，再用BC之类的工具做对比文本（该方法经测试超级傻，格式被破坏了）
https://github.com/x64dbg/x64dbg/issues/3042

[*]有个对比trace的工具（需要一堆东西支持，这个还没整明白，链接一时想不起来了）
法王姥爷的做法：
1.直接编个脚本，右面同时配合输出注释序列号如：“来过1_VA地址” （优点比较机动灵活，缺点对菜鸟很不友好，脚本需要改来改去）
2.利用满足条件直到。。输出调试器信息：“VA地址。。。当前寄存器信息”（优点比较机动灵活，缺点嘛，还没发现【因为我动脑子了】
因为法王姥爷最新版本的编译可以保存、读取配置，稍加修改就是一个新的方案）


未来打算？把QT编程，颜色图表的方式呈现搞上去。


其实仔细动脑子想一想？跟踪的啥？无非就是call 、ret、还有一些比较指令，跳转指令、清空指令。。。
比如软件没过期。。。过期了。。。两种状态。。。通过上面的技巧，都能轻松瞬间找到。

说得不好，别卷我。{:301_998:}

朱朱你堕落了 发表于 2023-5-1 12:35

冥界3大法王 发表于 2023-5-1 11:57
之后的版本可以导出为CSV格式的
在EmEditor这样的编辑器中



还是法王对x64dbg玩得好啊，对了，你看下我录的这个视频，https://cowtransfer.com/s/d432e48903ec4a
我的目的是，让程序从OEP开始开始走，到我下断的0040C1D0地址处停下，追踪到所有走的指令。输入程序，在0040C1D0下断点，之后让程序trace，结果它一直都在repe scasd这条指令里死循环，是x32dbg设置的问题吗？如何解决。

朱朱你堕落了 发表于 2023-5-2 08:38

@lies2014
老哥看看这个问题，一直卡在死循环里，是不是设置的问题，如果你测试，你自己用的x32dbg不在那句上死循环，麻烦打包一份你的x32dbg发我吧，或是直接发我QQ上也行，我再试试。

冥界3大法王 发表于 2023-5-3 08:09

lies2014 发表于 2023-5-2 17:29
这个不是死循环，repe scasd本来就是一个循环，其实寄存器那一栏已给出了关键寄存器的变化值，你看看ecx ...

马上改源码加入ctrl+a功能

冥界3大法王 发表于 2023-5-3 09:14

lies2014 发表于 2023-5-2 17:29
这个不是死循环，repe scasd本来就是一个循环，其实寄存器那一栏已给出了关键寄存器的变化值，你看看ecx ...

但是trace的功能里明显少了一列

lies2014 发表于 2023-5-3 17:35

冥界3大法王 发表于 2023-5-3 09:14
但是trace的功能里明显少了一列

少了什么？这个功能用得不多，主要是效率太低了

查看完整版本: 求助：x32dbg的trace功能的疑问