x64_dbg调试器_Windows应用程序32位/64位调试器 2023-05-25 中文绿色版

x64_dbg是一款功能开源且强大的Windows应用程序32位 64位调试器软件，其实说白了x64_dbg就是类似ollydbg(OD)的一款反编译软件。如果您不喜欢用ollydbg(OD)，可以试试这款x64_dbg调试器中文绿色版，很好用。

界面预览图：

x64_dbg 是一个免费开源的Windows应用程序32位系统、64位调试器软件，它其实就是ollydbg(OD)的同类软件，连界面都有点像，用过OllyDbg的小伙伴应该很容易上手操作。

最新版的x64_dbg调试器官方已经原生自带简体中文语言，打开x64_dbg 后切换一下界面语言就OK了。

现在x64_dbg调试器有三部分：DBG、GUI、Bridge。

DBG 是调试器的调试部分。它处理调试技术(使用 TitanEngine)，并为 GUI 提供数据。

GUI 是调试器的图形部分。它建立在 Qt 上，并提供用户交互界面。

Bridge 是 DBG 与 GUI 部分的通信库(将来也许是在更多的部件中间)。Bridge 可用于在新建功能上工作，而不需要更新代码的其他部分。

x64_dbg 软件具有简明的界面与强大的功能，提供了类似C的表达式解析器、全功能的DLL与EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块与串、快反汇编、可调试的脚本语言自动化等多项实用功能，整体效果十分乐观。

x64_dbg 调试器功能特点：

1、免费开源

2、直观，熟悉但又新的用户界面

3、类似于C的表达式解析器

4、DLL与EXE文件的全功能调试(TitanEngine)

5、类似于IDA的配置跳转箭头的侧边栏

6、类似于IDA的指令令牌荧光笔(突出显示寄存器等)

7、记忆图

8、符号视图

9、线程视图

10、源代码视图

11、内容敏感的寄存器视图

12、完全可定制的配色方案

13、动态识别模块与字符串

14、集成了导入重建器(Scylla)

15、快速反汇编程序(Zydis)

16、注释，标签，书签等的用户数据库(JSON)。

17、陆续增长的API支持插件

18、可扩展，可调试的脚本语言，实现自动化

19、多数据类型内存转储

20、基本调试符号(PDB)支持

21、动态堆栈视图

22、内置汇编器(XEDParse / asmjit)

23、可执行补丁

24、Yara模式匹配

25、反编译器(雪人)

26、分析

x64_dbg调试器V2.4 中文版运行方法：

1、解压x64_dbg2.4压缩包，找到release目录下的x64dbg.exe运行。

2、启动x64_dbg后会让你选择启动版本，分32位与64位，请根据需要选择启动就OK了。

3、如果您是64位系统，点击64位版，即可启动成功。

x64_dbg 2.4更新日志：

解决了在转储中向上滚动时的崩溃

解决的参考视图未正确根据Disasm

解决了丢失的设置

修复了多次初始化的关键部分造成的崩溃

添加了秘密选项以禁用数据库压缩

多种UI修正

允许 jmp short

固定的硬件断点

disasm / dump / stack插件菜单api

显示所选的字节数与转储中的模块

添加了最上面的选项

修复DLL上的TLS回调

在参考窗口中显示参考计数

修复了可能的缓冲区溢出

在参考视图中添加了全部关闭按钮以关闭所有选项卡

修复了启动时未刷新内存映射的错误

报告错误按钮

在HexEditDialog中编辑ASCII / Unicode时更新十六进制

设置对话框现在可以缩放

固定导入补丁

线程安全的dbghelp访问(可以修复某些崩溃)

Yara模式查找支持

解决了切换补丁程序无法切换实际字节的问题

多种格式的数据复制对话框(C字节/字/双字/字符串/ unicode)

反汇编程序中的动态查找引用菜单(自动检测常量)

向转储添加了查找引用选项(也适用于范围选择)

显示在参考标签标题中搜索的内容

SearchListView中的RegEx支持

x64_dbg入门教程与技巧：

1、x64_dbg设置符号文件保存路径：

Q：符号文件是什么?A：*.pdb文件，还不知道就百度吧。。。Q：为什么要设置?

A：符号文件平常很大，不然x64dbg默认保存到自身目录下，造成升级x64dbg，迁移x64dbg到其它位置极为不便

这样就设置好了

2、x64_dbg使用符号文件：

很多情况下，x64dbg不会自动加载符号文件(不知道为什么，可能是免除调试时太卡吧，vs加载过多符号文件就会卡顿)

这个时候候就需要我们手动加载了

x64dbg没有加载选项，可以点下载此模块的符号信息(要加载所有符号文件可以点下载所有模块的符号信息)

如果符号文件缓存目录中已经有了这个符号文件，x64dbg直接从本地加载，不然从符号文件服务器上下载并加载

右边显示了dll自身导出的函数与符号文件导出的函数，左键点击这里的函数，点击F2，是可以下断点的

3、x64_dbg安装插件：

对于.NET逆向，一般只要装一个反调试器检测的插件就行了

把压缩包里面的*.dp*文件拖入对应的文件夹(其实这些*.dp*也是*.dll文件，只不过改了个后缀名让x64dbg知道这里有个插件)

例如装32位x64dbg的插件，就将*.dp32拖入x64dbg\x32\plugins

4、x64_dbg查看函数调用时的参数：

第一步你需要明白什么是调用约定，这些需要百度

现在我使用32位x64dbg调试一个unpackme，在mscorwks.dll的AssemblyNative::LoadImage处下了断点，点击F9，x64dbg在此函数入口处断下了

在符号窗口可以看到这个函数的调用约定是fastcall

我们回到CPU，把调用约定改成fastcall

这里的1，2，3就是代表了第一，2，3个参数

我们刚刚已经看到了，这个函数第一个参数是Array *，表示指向了一个字节数组，这里的unsigned char相当于C#/VB.NET中的byte，而不是C#/VB.NET中的char

5、x64_dbg转储内存到文件：

我们在内存窗口中点击Ctrl+G，输入0312BBAC

成功跳转到了一个内存区域，储存了Array

我们点一下4D或者M

再将右边滚动条滚到底部，按住Shift，在左键单机一下最后一个字节

右键，二进制编辑->保存到文件

这样，你就把一个.NET程序集人工Dump下来了

dnSpy打开看看，是个没什么用的程序集(这个仅仅是演示，AssemblyNative::LoadImage断点有时是很有用的)

x64dbg插件更新日志：

解决了在转储中向上滚动时的崩溃

解决的参考视图未正确根据Disasm

解决了丢失的设置

修复了多次初始化的关键部分造成的崩溃

添加了秘密选项以禁用数据库压缩

多种UI修正

允许 jmp short

固定的硬件断点

disasm / dump / stack插件菜单api

显示所选的字节数与转储中的模块

添加了最上面的选项

修复DLL上的TLS回调

在参考窗口中显示参考计数

修复了可能的缓冲区溢出

在参考视图中添加了全部关闭按钮以关闭所有选项卡

修复了启动时未刷新内存映射的错误

报告错误按钮

在HexEditDialog中编辑ASCII / Unicode时更新十六进制

设置对话框现在可以缩放

固定导入补丁

线程安全的dbghelp访问(可以修复某些崩溃)

Yara模式查找支持

解决了切换补丁程序无法切换实际字节的问题

多种格式的数据复制对话框(C字节/字/双字/字符串/ unicode)

反汇编程序中的动态查找参考菜单(自动检测常量)

向转储添加了查找引用选项(也适用于范围选择)

显示在参考标签标题中搜索的内容

SearchListView中的RegEx支持

注意事项：

x64dbg官方插件下载地址：

https://github.com/x64dbg/x64dbg/wiki/Plugins

x64dbg Plugin Manager第三方人员开发的插件管理器：

https://github.com/horsicq/x64dbg-Plugin-Manager

小编总结：

我个人以为x64dbg软件是比ollydbg(OD)更好用的一款反编译软件，官方原生支持中文界面与插件，这点非常不错，特别是x64_dbg的操作界面也与OllyDbg调试工具非常相似，如果之前使用过OllyDbg这款调试工具的小伙伴，可以直接上手使用。软件具有简明的界面与强大的功能，提供了类似C的表达式解析器、全功能的DLL与EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块与串、快反汇编、可调试的脚本语言自动化等多项实用功能！

通过x64_dbg调试工具您可以分析64位的应用，这是OllyDbg所不能做到的，它只能分析32位应用，所以想要分析64位应用，你可以使用小编带来的这款调试工具，是一个专门用于分析64位应用的调试软件。支持类似C的表达式解析器、全功能的DLL与EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块与串、快反汇编、可调试的脚本语言自动化等多项实用分析功能，可以帮你完成64位应用的分析。