x64dbg调试工具

x64dbg调试工具汉化中文版支持反编译，可以设置条件断点，输入地址和表达式可以快速定位指定代码的位置，可以修改汇编代码，支持高亮显示，便于查找，还能够查看内存中的数据。

官方介绍

x64dbg是一款开源的、用于Windows操作系统的逆向工程工具，主要用于调试32位和64位的应用程序。它为软件分析人员提供了强大的功能来反编译并理解程序的行为，支持断点设置、内存与寄存器查看、汇编级单步执行等调试功能。x64_dbg是一款windows系统下非常优秀的64位调试器，与目前热门的“OllyDbg”十分相似，使用过OllyDbg调试工具的朋友应该很容易上手操作。软件具有简洁的界面以及强大的功能，提供了类似C的表达式解析器、全功能的DLL和EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用功能，整体效果十分乐观。本版文为官方汉化版。

x64dbg调试工具主要功能

开源

直观和熟悉的新用户界面

类似C的表达式解析器

查看你的补丁，并将它们保存到磁盘

内置的十六进制编辑器

快反汇编(BeaEngine)

用户数据库(JSON)征求意见，标签，书签等。

DLL和EXE文件的全功能调试(TitanEngine)

IDA般的侧边栏与跳跃箭头

IDA样的指令令牌高亮(高亮寄存器等)

存储器映射

符号观

线程视图

内容敏感的注册查看

完全可定制的配色方案

动态识别模块和串

进口重构集成(青蟹)

不断增长的API插件的支持

可扩展的，可调试的脚本语言自动化

多数据类型的内存转储

基本调试符号(PDB)的支持

动态堆栈视图

内置汇编(XEDParse)

查找内存模式

x64dbg使用教程

1、分析目标程序

将目标程序用x64dbg(实际上是x32dbg)打开，看看x64dbg的界面，这里常用的窗口都使用红字标注出来了

2、字符串搜索功能，我们可以通过x64dbg的字符串搜索功能来查看内存中加载的字符串，具体操作步骤为：CPU(反汇编)窗口->鼠标右键->搜索->选择模块(根据个人需求选择，一般选择当前模块，前提是得先执行到主模块)->字符串

3、我们单步到主模块(单步调试快捷键和od一样，F7单步步入，F8单步步过)，字符串搜索得到如下结果，可以看到很明显的字符串

4、双击该字符串即可跳到反汇编窗口中相应位置

5、下软件断点，运行程序，观察是何处调用了该代码(鼠标点击相应行，按下F2即可快速使用软件断点)，下软件断点后，地址处会变为红色，断点窗口能看到相应信息

6、让程序运行起来(快捷键F9)，输入注册信息，点击确认，等待命中软件断点

可以看到，程序的EIP指向了我们的软件断点，此时信息框信息为失败

7、单步步过，一直走到返回ret，即可查看上层代码

可以看到，源程序是使用了2个处理函数，分别对用户名和密码进行了运算，用户名运结果放到了eax中，密码运算结果放在ebx中，比较二者运算结果是否相同，决定调用注册成功函数还是注册失败函数。(由于此时只是介绍工具使用，故不展示算法分析部分，大致流程为eax = F1(用户名)，ebx = F2(注册码)，cmp eax,ebx)

8、这时候，我们使用x64dbg的代码修改功能，将对应的注册失败验证跳过，即可完成破解：将0x401243处的je 0x40124C改为jmp 0x40124C(双击代码行即可修改)

9、保存到文件(反汇编窗口右键->补丁->修补文件)

10、现在，验证我们的破解成果吧！

x64dbg中文版特色

x64 / x32支持

可以调试x64和x32应用程序。只有一个界面。

建立在开源库上

使用Qt，TitanEngine，Zydis，Yara，Scylla，Jansson，lz4，XEDParse，asmjit和snowman。

简单，强大的开发

使用C ++和Qt快速添加新功能。

积极发展

x64dbg一直在积极开发中。

GPLv3

我们提供可执行文件和源代码。随时贡献。

可订制

用C ++编写插件，更改颜色并调整您的首选项。

可编写脚本

具有集成的，可调试的，类似于ASM的脚本语言。

社区意识

具有许多由反向社区考虑或实现的功能。

可扩展

编写插件以添加脚本命令或集成您的工具。

x64dbg汉化版使用说明

常用功能键

1、 Ctrl + G 转到地址，计算表达式的值

2、 H 高亮显示（使用方法：按下H后，会出现一个红框，双击要高亮的显示的文字，就可以高亮显示）

3、 F4 运行到当前选中的行

4、 F2 下断点

5、 F7 单步步入

6、 F8 单步步过

7、 F9 运行

8、 CTRL + F9 执行到本函数的返回处，也就是遇到本函数RET指令停下

9、 * 转到RIP指向地址，也就是但钱汇编指令所在地址

10、 ; 给当前选中的行添加注释

11、 查找常量或字符串

汇编窗口右击->选择“当前区域”或“当前模块”或“所有模块”-> “常数”或者字符串

常用窗口

1、 CPU 汇编代码窗口

2、 Symbols 模块列表窗口

3、 Dump1-dump5 数据查看窗口

4、 寄存器窗口

5、 堆栈窗口

6、 breakPoints 断点列表窗口