x64dbg

如何使用 x64dbg 的跟踪功能加速样本分析

前情提要最近在分析PLAY勒索家族的样本,在加密文件之前,样本首先检查文件的扩展名是否在一个列表里,从而决定之后的加密行为。为了提升分析难度,也为了降低被杀软检测的风险,这个勒索病毒对执行中使用的字符串继续了编码,因此需要检查的扩展名列表并不是明文保存在样本中的。不仅如此,与很多勒索病毒不同,扩展名之间并没有连接成整个字符,而是通过循环的方式逐个进行解码,再比较。勒索样本总共进行了三次不同的循环,
zephyrOOO·2024-02-10 05:33

汇编基础知识六

0x01简介这里开始熟悉汇编的指令格式X64dbg界面一下图为X86版本的指令格式,X64的指令格式和X86差不多后面有需要的话再详细写image中文版0x02IstructionPrefixes前缀指令
暴走竹竿·2024-01-27 10:29

x64dbg的基本使用

目录x64dbg简介术语打开程序x64dbg打开界面介绍汇编窗口内存窗口寄存器窗口堆栈窗口基本调试方法搜索字符串退出程序x64dbg简介x64dbg是软件逆向里必不可少的动态调试工具,本来考虑学习一下OD
貌美不及玲珑心,贤妻扶我青云志·2024-01-08 04:40

从汇编语言到反汇编:X64dbg带你解析底层世界

今天,我们将重点介绍一款强大的反汇编工具:x64dbgX64dbg是什么?X64dbg是一款开源的64位反汇编工具,主要用于分析和调试Windows上的64位应用程序。它提供了强大的反汇编
计算机网络1微尘·2023-12-30 14:44

微信消息撤回拦截:x64dbg反汇编实现揭秘

通过x64dbg反汇编技术,我们能够实现这一看似不可能的任务。本文将带您了解如何利用x64dbg进行反汇编实现,拦截微信消息撤回。效果演示x64dbg简介x64dbg是一款强大的开源反汇编工具,它
计算机网络1微尘·2023-12-30 14:43

C++写壳详解之基础篇

主要工具:010Editor、VS2017、x64dbg、LordPE、OD实验平台:win1064位实现功能:加壳,压缩,对代码段加密。
某某呆·2023-12-29 18:08

X64dbg 最新版(2023.09)搜索中文字符串显示乱码的问题

最近要分析一个程序,需要在win7x86系统上调试,所以就下载了X64dbg,结果发现内置的字符串搜索工具,不能很好的显示utf-8的字符串。
donglxd·2023-12-29 03:09

红队专题-REVERSE二进制逆向反编译

汇编基础x86寄存器ARM寄存器X86和ARM的汇编指令总论1.2常用逆向思路1.3工具1.3.1二进制编辑器1.3.2可执行文件查看工具1.3.3格式转换工具x64dbg2020.06.04反汇编修改神器x64dbg
amingMM·2023-11-09 02:21

x64dbg入门学习

>>>简介  通过逆向一个C++程序来简单介绍如何使用x64dbg进行逆向。
clever101·2023-11-01 19:17

寻找Windows API 原始字节(x64dbg

首先我们将我们的木马移入x64dbg第一种方法通过命令寻找disasmCreateRemoteThreadEx第二种方法将调试器附加到kernelbase.dll后转到符号选项卡,最后,在搜索栏中,我们可以搜索
番茄酱料·2023-10-22 06:25

x64dbg/x32dbg 界面初步认知

第一步官网下载x64dbg官网辅助栏,里面会有一些红线以及一些虚线来指示当完成这一句代码之后,它会跳转至哪里地址栏这一句代码在内存中所处的位置机器码栏汇编代码栏注释栏详细信息比方说当前我们选中某一行,它下面的详细注释栏将会指示你
啊拉丁的鱼·2023-10-21 17:59

【转】去除WinRAR广告弹窗

bbs.pediy.com/thread-223105.htm自己动手尝试了一下,WinRAR用的是WinRAR550scp,32位和64位32位WinRAR用OllyDbg,spy++64位WinRAR用x64Dbg
回忆里的褶皱·2023-10-08 15:59

分析常见数据结构在内存中的存储形式

本文会在x64dbg中分析vector,list,map的内存存储特点目录分析vector在内存中的存储形式x32dbg分析vector数组总结一下vector的内存布局分析list在内存中的存储形式x32dbg
貌美不及玲珑心,贤妻扶我青云志·2023-09-19 10:25

分析字符串在内存中存储

本文会使用x64dbg分析4中字符串在内存中的存储目录分析字符串在内存中存储char数组的存储方式wchar数组的存储方式string在内存中的存储方式字节数小于16字节数大于16CString在内存中的存储方式分析字符串在内存中存储测试代码
貌美不及玲珑心,贤妻扶我青云志·2023-09-17 22:24

x64dbg的安装

一、安装地址:地址解压目录点击x96dbf.exe二、使用1.反汇编窗口这个位置显示的是需要分析的程序的反汇编代码。在第一个区域的最左侧例如“7712EAA3”这一列就是内存地址区域,接着“E807”就是汇编指令的opcode,“jmpxxxxxxxxx”这个区域就是汇编代码区,最后有一个空白的地方,我们可以在这个位置输入一些注释。2.寄存器窗口这里显示的是当前所调试程序的寄存器信息。3.数据窗口
摆烂z·2023-09-10 23:26

系统调用与函数地址动态寻找(详解版)

双机调试F9,进入程序领空,搜索所有用户模块的跨模块调用,F2下断点x64Dbg:F7单步步入,F8单步步过进入内核的方式:int2E(比较早期)sysenter(x86)syscall(x64)进内核的时候
WdIg-2023·2023-09-04 10:34

[CrackMe]damn.exe的逆向及注册机编写

后立马下硬件访问断点F9直接运行,立马到popad处接着走几步就到了OEP下面使用LordPE来转储映像,为了防止别人修改PE中的ImageSize,先尝试修正下ImageSize,然后dumpfull即可接着用x64dbg
Kiopler·2023-07-31 04:04

微信防撤回(.dll补丁形式)

所需工具x64dbg(https://github.com/x64dbg/x64dbg/releases)正文:1、下载解压后,根据该路径点击x96dbg.exe2、然后选择32位的!!!
北海南风·2023-07-27 20:31

【技巧】去掉RedisDesktopManager更新提示弹窗

目录1.下载安装x64dbg2.打开x64dbg软件3.选中rdm.exe打开4.右键搜索-所有模块-字符串引用5.根据关键词搜索6.双击搜索到的字符串跳转到反汇编窗口7.打断点运行8.连续越过直到弹窗出现
我是Superman丶·2023-07-19 08:09

4.9 x64dbg 内存处理与差异对比

LyScript插件中针对内存读写函数的封装功能并不多,只提供了最基本的内存读取和内存写入系列函数的封装,本章将继续对API接口进行封装,实现一些在软件逆向分析中非常实用的功能,例如ShellCode代码写出与置入,内存交换,内存区域对比,磁盘与内存镜像比较,内存特征码检索等功能,学会使用这些功能对于后续漏洞分析以及病毒分析都可以起到事半功倍的效果,读者应重点关注这些函数的使用方式。4.9.1实现
微软安全技术分享·2023-07-16 15:09

windows pwn

checksec(x64dbgx64dbg的插件checksec检查效果比较准确,并且可以连同加载的dll一起检测。
_sky123_·2023-06-22 07:38

新手学习Vmp之控制流程图生成

这里我的环境准备如下:VisualStudio+IDASDK+Capstone+Unicorn+GraphvizIDASDK插件环境,主要是有一些API可以调用,方便编写代码,X64Dbg插件环境可以替代之
夜栩·2023-06-17 22:39

加密与解密 调试篇 动态调试技术 (四)-x64dbg/MDebug

x64dbg是开源的调试器支持32位和64位Downloadx64dbg我们使用64位程序进行实验加载TraceMe64然后我们通过之前了解到了TraceMe是用GetDlgItemTextA来读取我们输入的值所以我们在
双层小牛堡·2023-06-15 19:50

NSSCTF doublegame题解

运行一下,是一个贪吃蛇游戏先玩一玩,蛇的移动速度太快了,玩不了查壳64位文件,无壳进入IDA分析发现这个EXE文件是开了程序基址随机化,就是每次用IDA打开指令的地址不一样我们要想使用x64dbg和IDA
御麟蹬辉·2023-04-17 17:11

vmp3.0.9全保护拆分解析

以下为了避免插件干扰,故采用x64dbg原版进行分析。
看雪学院·2023-04-05 23:02

最新UPX3.91-支持win64/PE-加/脱壳

前言在CTF比赛中遇到加了UPX的x64程序,由于OD和IDA都不能动态调试,可以通过x64dbg进行手工脱壳,本文重点介绍UPX。
果冻&稳稳&婷婷·2023-04-05 05:47

网络安全 CTF 之最新网鼎杯解题思路

一、脱壳PEID查不出来,用了die,显示是UPX3.96的壳,用了脱壳机,脱不了,只能手动脱壳,拖入x64dbg,F9运行到程序领空,很明显的特征,push:无脑使用ESP定律大法,对ESP下硬件访问断点
网络安全-生·2023-03-22 18:42

x64dbg的trace into追踪混淆程序

之前对某程序采用IDA的tracing或x64dbg的Animateinto进行追踪,都遭遇了记录不完整的后果。
静析机言·2023-01-29 07:21

X64dbg脚本实现自动DUMP运行中解密出的PE文件

X64dbg脚本实现自动DUMP运行中解密出的PE文件//defineavariabletoholdallocatedmemaddressvarmem_addr//defineavariabletoholdallocatedmemsizevarmem_size
摔不死的笨鸟·2022-12-21 23:33

X64dbg正确使用姿势

X64DBG是目前来说64位windows操作系统最主流的调试器,这里简单介绍下一些需要注意的使用姿势。1、取消系统断点。
摔不死的笨鸟·2022-12-21 23:03

逆向工程-REVERSE知识手册

汇编基础x86寄存器ARM寄存器X86和ARM的汇编指令总论1.2常用逆向思路1.3工具1.3.1二进制编辑器1.3.2可执行文件查看工具1.3.3格式转换工具x64dbg2020.06.04反汇编修改神器x64dbg
amingMM·2022-12-10 07:08

中国顶级CTF竞赛网络安全大赛--2022网鼎杯re2解题思路来了,快来围观!

作者:黑蛋一、脱壳PEID查不出来,用了die,显示是UPX3.96的壳,用了脱壳机,脱不了,只能手动脱壳,拖入x64dbg,F9运行到程序领空,很明显的特征,push:无脑使用ESP定律大法,对ESP
极安御信安全研究院·2022-11-18 07:11

x64dbg 插件开发环境配置

x64dbg是一款开源的应用层反汇编调试器,旨在对没有源代码的可执行文件进行恶意软件分析和逆向工程,同时x64dbg还允许用户开发插件来扩展功能,插件开发环境的配置非常简单,如下将简单介绍x64dbg是如何配置开发环境以及如何开发插件的
lyshark·2022-09-02 20:00

Python利用LyScript插件实现批量打开关闭进程

LyScript是一款x64dbg主动化操控插件,经过Python操控X64dbg,完成了远程动态调试,解决了逆向工作者剖析漏洞,寻觅指令片段,原生脚本不行强壮的问题,经过与Python相结合使用Python
·2022-07-22 17:07

2021-10-24 st 浮点栈寄存器的存储方式

st浮点栈寄存器的存储方式问题描述:我把1转成double压入st(0)中,按道理应该是3FF0000000000000,但x64dbg显示的是3FFF800000000000,我想用windbg看看是不是
对落叶很执着·2021-10-24 15:07

记一次CTF出题WP

然后按F9运行然后单击Click将其改成19999的16进制然后再摁F92、简单密码题UPX脱壳用IDA逆向后记下base64编码的地址打开x64dbg加载后按F9后将
秃桔子·2020-08-24 06:56

移植到64位应用程序出现0xc00007b的解决办法

后来经过x64dbg调试发现在加载comctl32.dll的时候异常,搜索关键字comctl32.dll0xC000007B果然是这个问题[incorrect-comctl32-dll-is-load
九一三·2020-08-23 16:26

Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)

想学习的请看这篇文章及其脚本(用x64dbg单步走脚本看,别瞪代码)SE_IAT修复来说说第一点说第一点之前,我
Lixinist·2020-08-14 10:51

某解压缩软件去广告

用Exeinfo初步判定,无壳,C++,64位:二、去广告过程利用X64Dbg分析。执行完毕后分析窗口句柄:可以观察到类名为RarReminder的窗口,且其父窗口为0,初步猜测为广告窗口。
南极向北·2020-08-14 05:36

NCTF2018RE部分题WP(some boxes、Our 16bit wars、签到)

签到64位PE文件,x64dbg动态调试到flag打印处,寄存器窗口可以看到flag明文。
Siphre·2020-08-05 19:32

re学习笔记(69)WMCTF2020 - easy_re

(搜了半天没搜到啥有用的,,最后在看雪论坛找到了这篇帖子https://bbs.pediy.com/thread-67651.htm既然说会解压,,那我就x64dbg单步调试了,,一直F8单步走,,跑飞就
我也不知道起什么名字呐·2020-08-05 17:24

我已经看到了,撤回也没用了(PC微信防撤回补丁)

于是乎,自己动手玩一玩,以下为详细步骤:首先下载x64dbg,我这里使用的是x32dbg,效果是一样的。打开x32dbg.exe,打开微信扫码登录,附加微信进程,此时微信处于假死状态,暂时不要使用。
weixin_30505485·2020-07-28 16:10

自制PC微信防撤回补丁教程

于是乎,自己动手玩一玩,以下为详细步骤:首先下载x64dbg,我这里使用的是x32dbg,效果是一样的。打开x32dbg.exe,打开微信扫码登录,附加微信进程,此时微信处于假死状态,暂时不要使用。
Scoful·2020-07-27 17:20

C++写壳详解之基础篇

主要工具:010Editor、VS2017、x64dbg、LordPE、OD实验平台:win1064位实现功能:加壳,压缩,对代码段加密。
看雪学院·2020-07-06 09:01

Windbg/x64dbg/OllyDbg调试器简介

原文链接:https://blog.csdn.net/libaineu2004/article/details/104081676一、WindbgWindbg是微软开发的一套调试器中的组件。WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。Windbg由于其丰富的命令和对Windows的原生支持还有其易用性,是其他其他调试器望尘莫及的。如果安装了Wind
lsfreeing·2020-07-04 22:42

最新x64dbg软件-比OD更好的工具

最新x64dbg软件-比OD更好的工具,原生支持中文界面和插件x64dbg是一款专业的windows系统下的64位调试器,界面简洁、操作简单,与“OllyDbg”调试工具非常相似,如果之前使用过OllyDbg
zyyujq·2020-06-30 20:22

【更新】四种WinRAR永久去广告方法

四种WinRAR永久去广告方法Winrar官网下载地址我的电脑是64位的就以64位版本进行介绍方法一:用Spy++查看广告窗口类名打开x64dbg附加winrar.exe,运行至winrar.exe模块程序入口点
iqiqiya·2020-06-29 23:23

VS2019生成的DeBug版程序寻找main函数

x64dbg调试,F9之后运行到如下的位置:F8一下运行到如下位置:F7进入Call,出现了两个Call:F7进入第二个Call,跳转到下面的位置:继续跟进,找到如下的位置:F7跟进,到达如下的位置:(
weixin_34034261·2020-06-28 10:50

一个简单压缩壳的实现

简单说下功能:1、支持反调试,检查PEB可以过x64dbg,NtQueryInformationProcess可以
weixin_33849942·2020-06-28 06:37

x64dbg/x32dbg 界面初步认知

第一步官网下载x64dbg官网辅助栏,里面会有一些红线以及一些虚线来指示当完成这一句代码之后,它会跳转至哪里地址栏这一句代码在内存中所处的位置机器码栏汇编代码栏注释栏详细信息比方说当前我们选中某一行,它下面的详细注释栏将会指示你
q739639550·2020-06-27 12:07
上一页 1 2 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他