1 .X64dbg安装
直接到官网下载安装包安装即可。
但是下载速度可能会很慢,网盘分享。
安装完成后即可看到两个程序图标:x32dbg和x64dbg,分别用于反调试32位和64位程序。
2 . 编译程序并开始调试
首先任意编写一个C语言程序,源码示例如下:
#include<stdio.h> int main() { int a,b; printf("Enter two numbers: "); scanf("%d%d",&a,&b); printf("This is what you entered: %d,%d\n",a,b); printf("a + b = %d\n",a+b); return 0; }
接着将编译得到的.exe程序放入x64dbg打开。
Tips:由于寄存器,内存数据等都是16进制表示的,因此图中寄存器长度是16。
2.1 调试指令:步进
使用快捷键:F7 调用该指令
作用:RIP指针指向下一条分支指令,遇到 call func 指令则会跳转进入 func函数 的汇编指令。
2.2 调试指令:步过
使用快捷键:F8 调用该指令
作用:RIP指针指向下一条指令,遇到 call func 指令不跳转,以程序的主支汇编指令为一个间隔。
3 . 编辑汇编代码对寄存器进行操作
3.1 清除已有指令
选中程序的部分汇编代码,右键选项,选中二进制–> Nop填充—> 确定即可清除原程序汇编指令占据的空间,使用占据一个字节的nop指令代替。
3.2 寄存器部分知识
- 对于64位程序而言,使用的寄存器最长容纳长度是64位(8B),如果指令操作对象需要的长度是8字节,那么指令中出现的寄存器为 rax,【例如:mov rax,0x1122334455667788】4字节则可以用eax代替。如下图:
-
其中 AH,AL分别表示AX寄存器的高8位和低八位。
- 对于32位程序而言,使用的寄存器最长容纳长度是32位(4B),如果指令操作对象需要的长度是4字节,那么指令中出现的寄存器为 eax,【例如:mov reax,0x12345678】。其他同理。
3.3 输入汇编指令以修改程序
在将程序汇编代码修改为nop之后,选中某一条nop指令,按下 空格 即可进入修改汇编指令模式。由于修改保存后会自动修改下一条指令,因此如果不需要接着向下修改,需要手动取消。
这里先简单输入几条指令,然后单步调试程序,查看相应寄存器变化。
mov指令
- mov rax,0x12345567890 将16进制立即数12345567890传递给寄存器rax,即完成赋值操作。
- mov rax,rbx 将寄存器rbx的内容复制给rax寄存器
- xor指令:xor rax,rax 对rax寄存器内容进行自身异或运算,即清零。
- add指令,add rax,0x1,对rax寄存器进行加一操作。
- sub指令,sub,rbx,rcx,将rbx寄存器的值减去rcx寄存器内容,结果保存在rbx寄存器。
- push指令 push rbx,将寄存器rbx的内容压入栈中,rsp指向的地址减小。入栈操作。
- pop指令,pop r9,将栈顶地址存放的内容放入寄存器r9,同时rsp寄存器指向地址增大。出栈操作。
4. 保存与使用补丁
4.1 保存修改导出为补丁文件
点击文件选项,选中 补丁—> 全选-----> 导出 即可完成。
4.2 将补丁文件导入程序实现修改
- 首先正常打开原来的exe程序,接着还是按照上面的步骤:文件—>补丁-----> 导入。
效果如下图:
参考视频:https://www.bilibili.com/video/BV121421z7J4?p=6&vd_source=2a1d24bb0c533ac8cc8f7371f72b6190
