64位調(diào)試工具(x64_dbg)

x64_dbg 是 Windows 下的 64位調(diào)試器，類(lèi)似 OllyDbg。熟悉 ollydbg 調(diào)試工具的應(yīng)該很容易上手。隨著技術(shù)的不斷發(fā)展，64位系統(tǒng)出現(xiàn)了，隨之64位的利用也出現(xiàn)了，而od只能分析32位利用，所以1些64位利用，od是沒(méi)辦法分析逆向的，所以，在這里要提到另外一個(gè)可以用于分析64位利用的調(diào)試軟件，名字叫x64_dbg。

64位調(diào)試工具(x64_dbg)怎么用？

首先是這個(gè)最簡(jiǎn)單的64位小程序，，首先打開(kāi)這個(gè)exe，，我們會(huì)發(fā)現(xiàn)，這是1個(gè)叫輸入密碼的小利用，固然了，我們肯定不知道這個(gè)密碼究竟是多少，那末好，我們就隨意輸入1個(gè)密碼123456試試，

固然了，這個(gè)密碼肯定不對(duì)，軟件也提示了，那我們?cè)鯓愚k呢？這個(gè)時(shí)候就需要用到文章開(kāi)始的分析工具了，x64_dbg。我們先打開(kāi)這個(gè)

我們可以看到，這個(gè)工具，整體跟od極其相似，所以我相信，會(huì)用od的人，對(duì)x64_dbg來(lái)講，肯定不是甚么問(wèn)題。然后我們?cè)儆脁64_dbg打開(kāi)simple.exe，固然了，打開(kāi)方法有兩種，1種是file里面f3，打開(kāi)這個(gè)exe，也能夠file里面alt+a，附加exe進(jìn)程，兩種方式對(duì)這個(gè)利用來(lái)講，基本沒(méi)甚么區(qū)分，好了，我們先打開(kāi)這個(gè)exe，附加到這個(gè)x64_dbg中來(lái)，會(huì)得到以下界面

熟習(xí)od的同學(xué)，肯定對(duì)這類(lèi)界面相當(dāng)熟習(xí)了吧，具體的我也不多說(shuō)了，下面看看如何破解這個(gè)exe，還記得剛才我們輸入了1個(gè)123456嗎？exe會(huì)彈出1個(gè)提示框，上面提示了1句話，“Authentication Failed.Invalid Password”，那好，就從這句話入手，在cpu界面，點(diǎn)擊右鍵，選擇搜索字符串

搜索這句話，就可以得到以下的東西

那好，我們點(diǎn)擊進(jìn)去看看是甚么?

會(huì)od的朋友，看到這里，應(yīng)當(dāng)就比較明白了，中間有1個(gè)jnz跳轉(zhuǎn)，然后再?gòu)棾龅倪@句話，我們可以料想1下，應(yīng)當(dāng)是密碼輸入不正確，就致使了這個(gè)跳轉(zhuǎn)，先來(lái)點(diǎn)簡(jiǎn)單的，要如何不讓程序跳轉(zhuǎn)呢？最簡(jiǎn)單的方法，現(xiàn)在是跳轉(zhuǎn)的0x59ea68,其實(shí)下1個(gè)地址是0x59ea5a,我們先把跳轉(zhuǎn)地址改成跳轉(zhuǎn)到下1行吧，首先，在0x59ea58這行按F2下1個(gè)斷點(diǎn)，然后在利用里面輸入123456，看會(huì)不會(huì)在這里斷下來(lái)

很好，斷下來(lái)了，我們?cè)賹⒌刂犯某扇鐖D所示，點(diǎn)ok，再運(yùn)行，很好，已提示正確了

如果我們要保存修改過(guò)的exe，如何保存呢？上面有1個(gè)

另外保存1個(gè)exe，這樣，你不管輸入甚么，都會(huì)提示正確了。目前破解算是完成了第1步。

然后我們?cè)倏纯吹?步，怎樣才能得到正確的密碼呢？其實(shí)這個(gè)才是我們破解1個(gè)利用比較關(guān)鍵的問(wèn)題，有些利用，我們可能不會(huì)給它打補(bǔ)釘，只需要了解了他內(nèi)部的東西，直接就能夠破解了，我們?cè)僦匦聛?lái)看看跳轉(zhuǎn)前，有1句，lea rdx, qword ptr ds:[59EAF8]，履行完后，再來(lái)跳轉(zhuǎn)的，看來(lái)這個(gè)應(yīng)當(dāng)是比較，那我們dump1個(gè)0x59EAF8的值，看看是甚么

看到這個(gè)，這么長(zhǎng)1段字符，編程的同學(xué)，應(yīng)當(dāng)都能猜到，這個(gè)應(yīng)當(dāng)是md5，那我們看看這個(gè)md5能不能解密呢？雖然說(shuō)md5是不可逆的，但如果有字典，有些還是可以，那我們來(lái)試試，先拷出這段字符串10db8e415b857a61e18ef5d4db8e4f38，上網(wǎng)解密試試

沒(méi)想到真的解開(kāi)了，看來(lái)密碼多是這個(gè)，我們來(lái)試試

果然，密碼真的是這個(gè)，到此，這個(gè)sample.exe的分析到此也結(jié)束了。

小結(jié)：這個(gè)exe本身是1個(gè)非常非常簡(jiǎn)單的利用，所以分析也10分簡(jiǎn)單，所以大家不要笑我哈，后面碰到的利用，肯定比這個(gè)復(fù)雜不止10倍以上，所以大家在分析的時(shí)候，要根據(jù)利用本身的情況來(lái)分析，我寫(xiě)這個(gè)教程的目的，還有1個(gè)，由于x64_dbg網(wǎng)上能查到的資料確切不多，我寫(xiě)了這個(gè)，希望以后有人用到這個(gè)分析軟件時(shí)，提供1點(diǎn)點(diǎn)思路！

功能：

開(kāi)源
直觀和熟悉的新用戶界面
類(lèi)似C的表達(dá)式解析器
DLL和EXE文件的全功能調(diào)試（TitanEngine）
IDA般的側(cè)邊欄與跳躍箭頭
IDA樣的指令令牌高亮（高亮寄存器等）
存儲(chǔ)器映射
符號(hào)觀
線程視圖
內(nèi)容敏感的注冊(cè)查看
完全可定制的配色方案
動(dòng)態(tài)識(shí)別模塊和串
進(jìn)口重構(gòu)集成（青蟹）
快反匯編（BeaEngine）
用戶數(shù)據(jù)庫(kù)（JSON）征求意見(jiàn)，標(biāo)簽，書(shū)簽等。
不斷增長(zhǎng)的API插件的支持
可擴(kuò)展的，可調(diào)試的腳本語(yǔ)言自動(dòng)化
多數(shù)據(jù)類(lèi)型的內(nèi)存轉(zhuǎn)儲(chǔ)
基本調(diào)試符號(hào)（PDB）的支持
動(dòng)態(tài)堆棧視圖
內(nèi)置匯編（XEDParse）
查看你的補(bǔ)丁，并將它們保存到磁盤(pán)
內(nèi)置的十六進(jìn)制編輯器
查找內(nèi)存模式