x64_dbg 是 Windows 下的 32/64 位調(diào)試器，類似 ollydbg。x64 dbg 采用 QT 平臺(tái)編寫，官方包含簡(jiǎn)體中文語(yǔ)言。熟悉 ollydbg 調(diào)試工具的應(yīng)該很容易上手。x64 dbg 整體前景比較樂觀，功能有待更強(qiáng)。

x64_dbg(Windows下64 位調(diào)試器) v2.5 永樂漢化版

• 類型：加殼脫殼
• 大?。?/span>10.6MB
• 語(yǔ)言：簡(jiǎn)體中文
• 時(shí)間：2018-05-21

查看詳情

最近在研究學(xué)習(xí)一些逆向的東西，其實(shí)之前也涉及到這方面的東西，只是之前的系統(tǒng)和應(yīng)用，基本上都是32位的，所以直接用od來(lái)分析就行了，這方面的資料在網(wǎng)上很多，隨便一搜到處都是，不過隨著技術(shù)的不斷發(fā)展，64位系統(tǒng)出現(xiàn)了，隨之64位的應(yīng)用也出現(xiàn)了，而od只能分析32位應(yīng)用，所以一些64位應(yīng)用，od是沒辦法分析逆向的，所以，在這里要提到另一個(gè)可以用于分析64位應(yīng)用的調(diào)試軟件，名字叫x64_dbg。網(wǎng)上對(duì)于這款軟件的介紹很少，只是說(shuō)能分析64位應(yīng)用，具體用法也找不到，不過我找到了它的一個(gè)教程，里面有一個(gè)最簡(jiǎn)單的64位應(yīng)用，但網(wǎng)上是用英文介紹的，對(duì)于一些英文不好的同學(xué)來(lái)說(shuō)，看起來(lái)可能比較費(fèi)力，我就大概說(shuō)說(shuō)我自己的一個(gè)分析過程，供大家學(xué)習(xí)！對(duì)了，先提醒一下哈，我現(xiàn)在還是在這方面的一個(gè)極度小白，說(shuō)的不好或者不對(duì)的地方，請(qǐng)各位及時(shí)提出來(lái)哈！

首先是這個(gè)最簡(jiǎn)單的64位小程序，，首先打開這個(gè)exe，，我們會(huì)發(fā)現(xiàn)，這是一個(gè)叫輸入密碼的小應(yīng)用，當(dāng)然了，我們肯定不知道這個(gè)密碼到底是多少，那么好，我們就隨便輸入一個(gè)密碼123456試試，

當(dāng)然了，這個(gè)密碼肯定不對(duì)，軟件也提示了，那我們?cè)趺崔k呢？這個(gè)時(shí)候就需要用到文章開始的分析工具了，x64_dbg。我們先打開這個(gè)

我們可以看到，這個(gè)工具，整體跟od極為相似，所以我相信，會(huì)用od的人，對(duì)于x64_dbg來(lái)說(shuō)，肯定不是什么問題。然后我們?cè)儆脁64_dbg打開simple.exe，當(dāng)然了，打開方法有兩種，一種是file里面f3，打開這個(gè)exe，也可以file里面alt+a，附加exe進(jìn)程，兩種方式對(duì)于這個(gè)應(yīng)用來(lái)說(shuō)，基本沒什么區(qū)別，好了，我們先打開這個(gè)exe，附加到這個(gè)x64_dbg中來(lái)，會(huì)得到如下界面

熟悉od的同學(xué)，肯定對(duì)這種界面相當(dāng)熟悉了吧，具體的我也不多說(shuō)了，下面看看如何破解這個(gè)exe，還記得剛才我們輸入了一個(gè)123456嗎？exe會(huì)彈出一個(gè)提示框，上面提示了一句話，“Authentication Failed.Invalid Password”，那好，就從這句話入手，在cpu界面，點(diǎn)擊右鍵，選擇搜索字符串

搜索這句話，就能得到以下的東西

那好，我們點(diǎn)擊進(jìn)去看看是什么?

會(huì)od的朋友，看到這里，應(yīng)該就比較明白了，中間有一個(gè)jnz跳轉(zhuǎn)，然后再?gòu)棾龅倪@句話，我們可以猜想一下，應(yīng)該是密碼輸入不正確，就導(dǎo)致了這個(gè)跳轉(zhuǎn)，先來(lái)點(diǎn)簡(jiǎn)單的，要如何不讓程序跳轉(zhuǎn)呢？最簡(jiǎn)單的方法，現(xiàn)在是跳轉(zhuǎn)的0x59ea68,其實(shí)下一個(gè)地址是0x59ea5a,我們先把跳轉(zhuǎn)地址改成跳轉(zhuǎn)到下一行吧，首先，在0x59ea58這行按F2下一個(gè)斷點(diǎn)，然后在應(yīng)用里面輸入123456，看會(huì)不會(huì)在這里斷下來(lái)

很好，斷下來(lái)了，我們?cè)賹⒌刂犯某扇鐖D所示，點(diǎn)ok，再運(yùn)行，很好，已經(jīng)提示正確了

如果我們要保存修改過的exe，如何保存呢？上面有一個(gè)

另外保存一個(gè)exe，這樣，你無(wú)論輸入什么，都會(huì)提示正確了。目前破解算是完成了第一步。

然后我們?cè)倏纯吹诙剑趺床拍艿玫秸_的密碼呢？其實(shí)這個(gè)才是我們破解一個(gè)應(yīng)用比較關(guān)鍵的問題，有些應(yīng)用，我們可能不會(huì)給它打補(bǔ)丁，只需要了解了他內(nèi)部的東西，直接就可以破解了，我們?cè)僦匦聛?lái)看看跳轉(zhuǎn)前，有一句，lea rdx, qword ptr ds:[59EAF8]，執(zhí)行完后，再來(lái)跳轉(zhuǎn)的，看來(lái)這個(gè)應(yīng)該是比較，那我們dump一個(gè)0x59EAF8的值，看看是什么

看到這個(gè)，這么長(zhǎng)一段字符，編程的同學(xué)，應(yīng)該都能猜到，這個(gè)應(yīng)該是md5，那我們看看這個(gè)md5能不能解密呢？雖然說(shuō)md5是不可逆的，但如果有字典，有些還是可以，那我們來(lái)試試，先拷出這段字符串10db8e415b857a61e18ef5d4db8e4f38，上網(wǎng)解密試試

沒想到真的解開了，看來(lái)密碼可能是這個(gè)，我們來(lái)試試

果然，密碼真的是這個(gè)，到此，這個(gè)sample.exe的分析到此也結(jié)束了。

小結(jié)：這個(gè)exe本身是一個(gè)非常非常簡(jiǎn)單的應(yīng)用，所以分析也十分簡(jiǎn)單，所以大家不要笑我哈，后面碰到的應(yīng)用，肯定比這個(gè)復(fù)雜不止十倍以上，所以大家在分析的時(shí)候，要根據(jù)應(yīng)用本身的情況來(lái)分析，我寫這個(gè)教程的目的，還有一個(gè)，因?yàn)閤64_dbg網(wǎng)上能查到的資料確實(shí)不多，我寫了這個(gè)，希望以后有人用到這個(gè)分析軟件時(shí)，提供一點(diǎn)點(diǎn)思路！

最新評(píng)論