摘要:关于x64dbg使用记录

匹配特征

内存窗口 右键 搜索匹配特征

搜索匹配特征.jpg

这个有毒,他么的你要搜索图中的"shiny"。图中鼠标的光标在00469AAC处,如果你不小心把鼠标的光标放到了"shiny"所在的字符串下面,是搜不到的。

运行到用户代码和在代码段打内存访问断点的区别

下面是堆栈图:
操作之前的堆栈:

在两个操作指令之前的堆栈.jpg

在代码段打内存访问断点,F9后的堆栈

在代码段打内存访问断点.jpg

"执行到用户代码",运行后的堆栈

运行到用户代码.jpg

执行到用户代码.jpg

很明显"执行到用户代码",会运行到当前堆栈的上面的用户代码。在代码段打内存访问断点,然后F9,只要访问了代码段调试器就会暂停。

如何在调用api的地方下断点

第一步:在主程序找到要导入的系统api,比如下面这个DispatchMessageA

在调用处打断点1.jpg

第二步:在反汇编窗口转到上面的0x00468478,然后查找引用

在调用处打断点2.jpg

*第三步:直接打断点就行了*

在调用处打断点3.jpg

不清楚这么重要的功能藏这么深干嘛,x64dbg就是个坑。