x64dbg零基础使用教程 2018/07/08

wwh1004

这篇文章主要是为.NET逆向但不会x64dbg的同学准备的，文章基本上零基础，会一点c#/vb.net就能看懂文章。
文章以visual studio 2017为参照，讲解如何像用vs调试.NET程序集一样使用x64dbg调试本机代码
x64dbg下载地址：https://github.com/x64dbg/x64dbg/releases

---

x64dbg基本操作：

1.步进
等于vs中的"逐语句"
vs图标：

x64dbg图标：

vs快捷键：
F11
x64快捷键：
F7

2.步过
等于vs中的"逐过程"
vs图标：

x64dbg图标：

vs快捷键：
F10
x64快捷键：
F8

3.运行到返回
等于vs中的"跳出"
vs图标：

x64dbg图标：

vs快捷键：
Shift+F11
x64快捷键：
Ctrl+F9

4.运行
等于vs中的"启动"/"继续"
vs图标：


x64dbg图标：

vs快捷键：
F5
x64dbg快捷键：
F9

5.断点
在想断下的指令上按下对应快捷键即可vs图标：
启用：
禁用：
x64dbg图标：
启用：
禁用：
vs快捷键：
F9
x64快捷键：
F2

x64dbg入门操作：

1.设置符号文件保存路径：
Q：符号文件是什么？A：*.pdb文件，还不知道就百度吧。。。Q：为什么要设置？
A：符号文件通常很大，不然x64dbg默认保存到自身目录下，导致升级x64dbg，迁移x64dbg到其它位置极为不便


这样就设置好了

2.使用符号文件：
很多情况下，x64dbg不会自动加载符号文件（不知道为什么，可能是防止调试时太卡吧，vs加载过多符号文件就会卡顿）
这时候就需要我们手动加载了

x64dbg没有加载选项，可以点"下载此模块的符号信息"（要加载所有符号文件可以点"下载所有模块的符号信息"）
如果符号文件缓存文件夹中已经有了这个符号文件，x64dbg直接从本地加载，否则从符号文件服务器上下载并加载
右边显示了dll自身导出的函数和符号文件导出的函数，左键单击这里的函数，按下F2，是可以下断点的

3.安装插件：
对于.NET逆向，一般只要装一个反调试器检测的插件就行了
我在用@xjun 的SharpOD：https://www.52pojie.cn/thread-628837-1-1.html
不是打广告，是这个插件真的很好用，调试体验极佳（用作者的推荐设置）
不扯了，说下怎么安装


把压缩包里面的*.dp*文件拖入对应的文件夹（其实这些*.dp*也是*.dll文件，只不过改了个后缀名让x64dbg知道这里有个插件）
比如装32位x64dbg的插件，就将*.dp32拖入x64dbg\x32\plugins

x64dbg实际操作：

1.查看函数调用时的参数：
首先你需要明白什么是调用约定，这些需要百度
现在我使用32位x64dbg调试一个unpackme，在mscorwks.dll的AssemblyNative::LoadImage处下了断点，按下F9，x64dbg在此函数入口处断下了

在符号窗口可以看到这个函数的调用约定是fastcall
我们回到CPU，把调用约定改成fastcall


这里的1，2，3就是代表了第1，2，3个参数
我们刚才已经看到了，这个函数第一个参数是"Array<unsigned char> *"，表示指向了一个字节数组，这里的"unsigned char"等同于C#/VB.NET中的"byte"，而不是C#/VB.NET中的"char"

2.转储内存到文件：
我们在内存窗口中按下Ctrl+G，输入0312BBAC

成功跳转到了一个内存区域，储存了"Array<unsigned char>"
我们点一下4D或者M

再将右边滚动条滚到底部，按住Shift，在左键单机一下最后一个字节

右键，二进制编辑->保存到文件

这样，你就把一个.NET程序集人工Dump下来了
dnSpy打开看看，是个没啥用的程序集（这个仅仅是演示，AssemblyNative::LoadImage断点有时是很有用的）


应该没什么要写的了，对于.NET逆向这些完全足够了
如果有什么要补充的，我还会再编辑这个帖子，并且更新标题上的日期，新手可以收藏这个帖子

wwh1004

布衣木人 发表于 2018-12-17 17:07
好像不会吧，windbg需要命令，这个貌似也是吧，没怎么用过啊

那不清楚了，我的自动加载的。用github上最新的x64dbg试试

飞鸽

wwh1004 发表于 2018-12-13 22:05
在符号窗口，右键要加载符号的模块，点下载此模块的符号信息，下载完就会自动加载

  网址：https://msdl.microsoft.com/download/symbols/wkernelbase.pdb/C087374209B24B1EBC76F8BDC5B369731/wkernelbase.pdb
连接成功，但下载失败（状态码：404）……
大神，这个 下载所有文件都提示404错误，任何下载都这样，请问为什么，求解

冥界3大法王

良心工程，加分犒劳~

dwh007

希望整理成文档

freesoft00

如果有详细的教程就更好了。x64dbg教程太少了。

aerofsm

希望整理成文档

byh3025

用例子实际操作下会更明白

netle8

学习了，感谢分享！

leegn

不搞.net，但是支持楼主

1207852256

谢谢大佬分析，太棒了   账号需要
哈哈哈哈哈哈哈

gunxsword

不错的教程,虽然经常有OD,不过X64这个还没怎么用过,正好熟悉一下,感谢!