x64dbg - 基礎實戰

-找出 Main Function

x64dbg 預設會將 EntryPoint 設置中斷點，因此按下 F9 會在 EntryPoint (程式的進入點，會將參數和環境變數等資訊做處理，然後才會進入 Main Function)。這裡將介紹二種靠近關鍵程式碼區塊的方法，第一種是字串搜尋 、第二種是 API 搜尋，使用這些做法可以省去大多的時間去分析不感興趣的程式碼。

x64dbg - 中斷點設置

-中斷點設置

在動態分析時，會搭配中斷點(API或使用到相關字串的地方)來找出關鍵區塊，這樣使工作更有效率。

x64dbg - Memory Map, Symbols, References, Command

-Memory Map

在上方的欄位點選 Memory Map 就會看到整個執行檔 (包含動態連結庫 (Dynamic-link library)) 的記憶體配置 (text, data, rdata, bss ......)。

x64dbg - 執行方式

-執行方式

反編譯程式有時需要執行每行指令來了解運行的狀況 (動態分析)，常用的執行方式如下：

x64dbg - GUI介紹

-GUI介紹

選擇好要反編譯的程式後，會直接看到這個視窗 (預設是會先看到 CPU 的欄位)，下列會說明每個視窗的用途。

x64dbg - 反編譯軟體

透過 x64dbg 反編譯軟體的方式有2種

x64dbg - 下載與執行

x64dbg 是開放原始碼的反編譯 (Debugger) 工具，可以針對32位元或64位元的軟體來進行反編譯，並且 GUI 介面與功能都非常的好用。

關於

大家好，我是Shin，曾任職於行政院國家資通安全會報技術服務中心(NCCST)，參與106金盾獎決賽出題以及在HoneyCon 2015、2016擔任Workshop講師，熱愛駭客技術、程式設計以及電腦科學，並且會透過 Google Blogger 不定期發表駭客技術教學文章和影片，希望大家會喜歡!