获课：789it.top/15529/

x64dbg 是一款开源的 Windows 平台调试器，以其强大的功能和灵活的插件系统成为逆向工程师的首选工具。本文将从基础操作讲起，通过完整案例演示如何使用 x64dbg 进行程序调试与逆向分析，帮助新手快速掌握核心技能。

一、x64dbg 基础入门

1. 安装与界面布局

安装步骤：

1. 访问 x64dbg 官网 下载最新版
2. 解压后运行 x32\x64dbg.exe（32位程序）或 x64\x64dbg.exe（64位程序）
3. 首次运行会自动创建配置目录（%APPDATA%\x64dbg）

界面模块：

• CPU 窗口：核心反汇编视图（快捷键 Alt+1）
• 堆栈窗口：查看函数调用栈（Alt+2）
• 内存窗口：内存数据查看与编辑（Alt+3）
• 断点窗口：管理所有断点（Alt+B）
• 日志窗口：显示调试输出（Alt+5）

2. 基础调试操作

assembly; 示例调试流程（以计算器程序为例）1. 打开程序：File → Open → 选择目标.exe
2. 设置断点：
   - 在反汇编视图右键 → Breakpoint → Toggle（F2）
   - 或在地址栏输入地址后按F2
3. 运行控制：
   - F9：继续执行
   - F7：单步步入（进入函数）
   - F8：单步步过（跳过函数）
   - Ctrl+F9：执行到返回
4. 寄存器修改：
   - 右键寄存器值 → Edit → 输入新值
   - 或直接双击寄存器值修改

3. 常用快捷键速查

二、核心调试技术实战

案例1：破解简单注册验证

目标：分析一个使用硬编码密钥验证的程序，修改其逻辑实现永久注册。

步骤1：定位验证函数

1. 打开程序并输入错误注册码
2. 在日志窗口观察崩溃点（或搜索字符串引用）
3. 找到类似以下反汇编代码：

assembly.text:00401234 loc_401234:.text:00401234 mov     eax, [ebp+arg_0]  ; 用户输入
.text:00401237 mov     edx, offset aSecret123 ; "SECRET-123"
.text:0040123C call    _strcmp
.text:00401241 test    eax, eax
.text:00401243 jnz     short loc_401250  ; 跳转失败则拒绝

步骤2：修改跳转指令

1. 在 jnz short loc_401250 处按 F2 设置断点
2. 运行程序触发断点
3. 右键该指令 → Assembly → 修改为 jz（强制通过验证）
4. 或直接 NOP 掉整条指令（90 90）

步骤3：保存修改

1. 右键 CPU 窗口 → Patch program → Apply patches to input file
2. 选择保存路径生成破解版

案例2：动态分析加密算法

目标：分析某程序的数据加密函数，提取加密密钥。

步骤1：设置内存访问断点

1. 在数据窗口找到加密后的输出缓冲区
2. 右键地址 → Breakpoint → Hardware, on access（DWORD）
3. 运行程序触发断点

步骤2：回溯调用链

1. 查看调用栈窗口（Alt+K）
2. 找到加密函数入口点（如 sub_401000）
3. 分析函数参数（通过寄存器或堆栈传递）

步骤3：提取密钥

1. 在加密函数内搜索常量（如 0xDEADBEEF）
2. 观察 XOR/AES 等加密指令的操作数
3. 记录密钥材料（如 mov ecx, 0x12345678）

三、高级调试技巧

1. 条件断点应用

assembly; 示例：当 EAX=0xDEAD 时中断1. 在目标地址按F2设置断点
2. 右键断点 → `Condition`
3. 输入条件表达式：`eax == 0xDEAD`
4. 仅在条件满足时暂停执行

2. 脚本自动化（使用 x64dbg 脚本）

lua-- 示例脚本：自动搜索字符串并设置断点local addr = find("SECRET-123", "x")if addr ~= nil then    bpSet(addr, "hw")  -- 设置硬件断点    print("Breakpoint set at: 0x"..string.format("%X", addr))end

3. 插件扩展推荐

四、常见问题解决方案

1. 调试器被检测绕过

现象：程序检测到调试器后崩溃或退出
解决方案：

1. 补丁检测函数（如 IsDebuggerPresent）
2. 修改 PEB 结构中的 BeingDebugged 字段
3. 使用 HideDebug 插件隐藏调试器

2. 反反调试技巧

assembly; 常见反调试代码模式1. 时间差检测：
   call    GetTickCount
   mov     [ebp+var_4], eax
   ; ... 执行代码 ...
   call    GetTickCount
   sub     eax, [ebp+var_4]
   cmp     eax, 0x1F4  ; 超过500ms则退出
   ja      exit

2. 父进程检测：
   call    GetModuleFileNameA
   mov     esi, eax
   push    offset aExplorerExe ; "explorer.exe"
   push    esi
   call    lstrcmpiA
   test    eax, eax
   jnz     exit

3. 脱壳调试要点

1. 识别 OEP：
   • 搜索 PUSHAD/POPAD 指令对
   • 观察堆栈平衡情况
2. 内存转储：
   • 使用 OllyDumpEx 插件
   • 确保修复 IAT 表
3. 处理花指令：
   • 识别无意义跳转（如 jmp short 循环）
   • 使用 NOP 补丁跳过

五、学习资源推荐

1. 官方文档

• x64dbg 官方 Wiki
• GitHub 示例脚本库

2. 实战平台

• CrackMe 站点：
  • crackmes.one
  • reverse.put.as
• CTF 题目：
  • PicoCTF 逆向工程模块
  • Hack The Box 逆向挑战

3. 视频教程

• B站系列：
  • 《x64dbg 从入门到精通》
  • 《Windows 逆向工程实战》
• YouTube 频道：
  • OALabs 逆向分析教程
  • LiveOverflow 漏洞研究

六、总结与成长建议

通过完成本文的案例实践，你已掌握：

1. x64dbg 的基础调试操作
2. 简单补丁与跳转修改技术
3. 动态分析加密算法的方法

下一步学习建议：

1. 尝试分析更复杂的保护机制（如代码混淆、VM 保护）
2. 学习 Windows API 钩子技术
3. 掌握 IDA Pro + x64dbg 联合调试流程
4. 参与开源项目逆向分析（如开源软件漏洞挖掘）

调试哲学：

• 观察：记录程序行为模式
• 假设：基于现象提出理论
• 验证：通过调试验证假设
• 迭代：不断修正分析模型

逆向工程是持久战，建议每天保持 1-2 小时的刻意练习，逐步积累对常见代码模式的识别能力。随着经验增长，你将能应对更复杂的软件保护方案，最终达到"看汇编如读源码"的境界。