最新xdbg软件逆向实战！无壳&小白入门

原创

已于 2024-02-28 20:51:21 修改 · 2.6k 阅读

17 ·

CC 4.0 BY-SA版权

文章标签：

#开发语言 #个人开发 #安全

于 2024-02-28 20:50:15 首次发布

本文讲述了作者使用技术手段分析并破解一款未加壳的软件，通过PEID查壳、Debug工具追踪、定位验证函数，最终成功绕过反调试并修改密码验证的过程。

偶然一天网上冲浪，发现一款软件，秉承着学习的态度，我再次下载下来

还是老样子，先打开PEID进行查壳

没加壳，那我们就正常打开，看下具体什么情况

看来不是先出现登录界面了，是直接嵌入到软件内了

接下来就该寻找我们的下手点了

直接点击开始

直接闪退！！什么回显也没有

用debug虫子修复载入

ok，实锤是用易语言做的软件

可以考虑用按钮断点进行下一步的破解

那我直接载入到xdbg中先F9运行一下，让他到程序领空后

ctrl+b 搜索 FF55FC（易语言的按钮call）

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Brown1.

关注关注

12
点赞
踩
17

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

软件逆向破解入门系列(1)—xdbg32/64的常见配置及功能窗口

Think88666的博客

07-01

6834

逆向,破解

新人福利——OllyICE和xllydbg的区别和基本用法

任鸟飞2217777779的博客

11-03

7882

OllyICE简称od，这是一款很古老的动态调试工具，在过去的许多年里，深受广大逆向程序员的喜好。但是由于些年的更新较少，并且在x64的版本上又没有大量的插件支持，所以程序员从使用od逐渐转为使用xllydbg，简称xdbg。当然在32位版本里，od的功能还是非常强大的，因为年头久，多种多样的插件也为其舔砖加瓦，甚至达到了几乎无可取代的地位。但是站在高处就要承受压力，随着名声越来越大，用户量越来越多，针对od的保护措施也层出不穷，这也给了xdbg一些机会。

1 条评论您还未登录，请先登录后发表或查看评论

新手福利——x64逆向基础

任鸟飞2217777779的博客

02-20

5824

此时的寻址方式并不是以rsp为基地址来传递局部变量和参数，那么如果我们想知道一个rbp+xxxx是局部变量还是参数，就需要到头部去进行一个相对复杂的运算，比如图中的rcx来源rbp-59，虽然我们明知他是一个局部变量(因为前面是lea)，但是我们也要到头部去算一算，-59-5F= -B8，在头部的地址是rsp-B8，也就是说他是一个局部变量。虽然在x64程序中，我们默认的前4个参数是rcx-r9，但是也有例外，如果我们传递的参数是浮点型的话，那么传入浮点数的参数则会使用xmm0-xmm3来代替。

【逆向】软件漏洞shellcode

一个努力生活的人的博客

07-14

654

解决方法：因为shellcode的注入方法都是通过程序输入字符串的位置进行注入，因此如果shellcode中出现了0x00，就会导致shellcode提前被截断，这样就无法直行shellcode原本的功能。利用xdbg工具查找的栈中shellcode起始地址，用该地址淹没返回地址，这个地址会经常发生变化，须找到一个能动态定位到shellcode起始地址的办法。解决方法：因为执行完ret后，除了eip的值被修改了，esp的值此时能刚好存放shellcode的起始位置。因此只需要从系统调用的dll文件中找到。

xdbg最新实战&软件逆向&新手入门实战&软件破解&无壳破解

jockerboss的博客

03-12

3230

xdbg最新实战&软件逆向&新手入门实战&软件破解&无壳破解

x64dbg使用手册

01-16

x64dbg使用手册，官方文档整理成的chm文件，新手入门可以看看

CTF逆向Reverse入门学习路线（面向小白）

Sciurdae的博客

10-07

2万+

CTF逆向 Reverse入门学习路线（入门指南）面向小白

CTF逆向Reverse入门学习路线（面向小白）_逆向reverse 思路

2401_84971057的博客

05-16

669

ollydbg，简称OD已经蛮久没有更新了，而且OD主要支持32位的PE文件调试和分析；所以这里我比较推荐使用Xdbg，Xdbg经常更新，还有自动中文汉化。x64dbg顺便讲下简单使用：随便拖入一个可执行文件，这可以看到四个窗口；左上角的反汇编窗口，这里显示是我们要分析的程序的反汇编代码：截取一行讲解00007FFA5A3C076A | 55 | push rbp | 看这里！！！

CTF逆向Reverse入门学习路线（面向小白）_逆向reverse 思路(2)

2401_84971029的博客

05-16

781

X64Dbg使用教程

热门推荐

南宫封清的博客

04-08

4万+

读取内存数据字节/字/双字/四字/指针(ptr) ReadByte,Byte,byte(addr)：从 addr 读取一个字节，并返回该值。 ReadWord,Word,word(addr)：从 addr 读取一个字(2字节)，并返回该值。 ReadDword,Dword,dword(addr)：从 addr 读取双字(4字节)，并返回该值。 ReadQword,Qword,qword(add...

软件逆向一

weixin_46546499的博客

10-24

1032

##初识软件逆向 ## 软件逆向之逆向工具包前置基础 1.C语言基础(慕课，C语言基础入门） 2.汇编语言常用工具 IDA (逆向分析基本工具） JeB （收费软件，比较全面） OD （新手入门使用工具，针对Windows下的动态调试使用，只能调试Windows 32位的程序） windbg （调试操作内核、驱动） GDB (Linux下自带的程序，与OD类似）逆向工程的介绍逆向的难点一是绕过软件保护(过保护层）:软件保护-编译器静态链接、优化加壳、加密、混淆、花指令公”

记一次Net软件逆向的过程（经典）

逸鹏说道

06-21

708

查壳 1.先看下目录结构： 2.查下，是什么语言 ==> Net的，那不用说了，肯定能破解(毕竟是老本行嘛~) 混淆与反混淆 3.dnSpy打开后发现很多变量是乱码 4.用de4dot跑一波 5.生成了一个反混淆过的exe 程序调试 6.改名后打开，乱码问题解决下断 PS：刚开始你单步跟着后面走走`F11`，遇到系统方法就`F10`跳过，或者导航返回一步`←`，在跳进方法的下...

软件逆向分析的思路流程【入门必看】

青月的成长记录吖

03-19

1026

只要你会编程，不管你会什么语言的编程，随便会一门，你就可以看懂他们的源码，他们在什么地方做了验证，需要返回什么数据，一看便知！如果你懂编程并且有源码，考试的时候把答案都给你了，你还怕自己不会抄答案吗？本地验证多种多样，变化莫测，要比网络验证好玩很多倍，你会看到各种不同软件作者的各种不同编程思路，很有意思。找到了限制，你可以开发你的想象，如果你是这个软件的作者，你会使用什么方法什么函数达到当前这个限制效果。很多新手对网络验证特别重视，总觉得会了网络验证才是真正的学会PJ了，其实你们错了，而且错的一塌糊涂！

x64dbg零基础使用教程

qq_43505188的博客

01-17

4833

我们刚才已经看到了，这个函数第一个参数是"Array *"，表示指向了一个字节数组，这里的"unsigned char"等同于C#/VB.NET中的"byte"，而不是C#/VB.NET中的"char"x64dbg没有加载选项，可以点"下载此模块的符号信息"（要加载所有符号文件可以点"下载所有模块的符号信息"）右边显示了dll自身导出的函数和符号文件导出的函数，左键单击这里的函数，按下F2，是可以下断点的。不是打广告，是这个插件真的很好用，调试体验极佳（用作者的推荐设置）

xdbg某软件逆向实战&无壳入门逆向实战

jockerboss的博客

02-26

1696

最新xbg逆向实战经验，

x64dbg的基本使用

qq_61553520的博客

01-07

9912

x64dbg使用

android逆向之路之二十七

luoawai的博客

09-18

528

dex文件之破解验证大家都知道，游戏或者软件有签名，然而,签名又有着签名验证,防止破解. classes.dex也存在着验证，主要特征是,修改dex文件后,签名安装,软件就会立即闪退. 那么,我们应该怎么破解dex验证，大家都知道，dex验证要修改so文件，但是为啥不能在dex里修改呢？问题就来了,先得寻找到dex验证的地方进行修改即可! 思路:让软件获取到正班软件的dex！(主...

【飞郁2022新课程】32 - xdbg的认识与设置

任鸟飞2217777779的博客

12-24

2504

xdbg的简介 Xllydbg(简称xdbg)和OD的用法和界面都是很像的,由于网络安全的发展,OD无法满足大部分人的需要了,更多的人习惯对xdbg进行处理,来达到正常调试的目的. 从官网下载一款xdbg,安装后双击下图的exe程序,可以打开32位的xdbg xdbg的初始设置打开xdbg并随便附加一款程序,我们先来对xdbg进行一些设置,这些设置更多是针对64位的程序的我们在选项中点选择选项,可以看到事件设置这里的断点没有特殊需求可以全部取消, 然后在异常中添加区间为0-0xFFFFFFFF,保证不

x64dbg使用心得

09-15

1334

使用ScyllaHide插件时注意一下事项 xdbg64设置里启动附加必须第一次断下在系统断点然后再启用ScyllaHide. 停止调试脱离时。必须关闭ScyllaHide 否则会报异常 xdbg64无法脱离时暂停运行即可脱离转载于:https://www.cnblogs.com/kuangke/p/7525280.html...

我是一个逆向小白，现在我遇到一个游戏只要窗口没有被激活游戏画面就是被暂停掉的情况，这种我要怎么分析是哪里把他给暂停了啊，使用xdbg进行分析要有详细的每一步和注释

最新发布

06-07

### 使用 xdbg 调试工具分析游戏窗口未激活时被暂停的原理在调试过程中，使用 xdbg 分析游戏窗口未激活时被暂停的原因需要结合断点设置、函数调用跟踪以及条件触发等技术。以下是详细的步骤和注释说明： #### 1. 启动 xdbg 并附加到目标进程首先，启动 xdbg 调试器，并将调试器附加到目标游戏进程。可以通过以下方式实现： ```plaintext Attach to Process: 在 xdbg 中选择“Attach to Process”选项，然后从列表中找到目标游戏进程并附加。 ``` 此操作类似于 gdb 中的 `attach` 命令[^2]。 #### 2. 设置断点以捕获窗口状态变化为了捕获窗口激活或失活的状态变化，可以针对与窗口相关的 API 函数设置断点。常见的 Windows API 函数包括： - `SetWindowPos` - `EnableWindow` - `ShowWindow` - `IsWindowVisible` - `WM_ACTIVATE` 消息通过以下步骤设置断点： ```plaintext Breakpoint on Function: 在 xdbg 中选择“Breakpoint” -> “Function Breakpoint”，输入上述函数名称（如 SetWindowPos 或 EnableWindow）。 ``` 此外，还可以在消息循环中捕获 `WM_ACTIVATE` 消息，以检测窗口是否失去焦点。 #### 3. 使用条件断点过滤无关事件为了避免过多的中断，可以为断点添加条件，仅在特定条件下触发。例如，当窗口失去焦点时触发断点： ```plaintext Conditional Breakpoint: 在 xdbg 中右键点击已设置的断点，选择“Edit Condition”，输入类似以下条件： wParam == WA_INACTIVE ``` 这里，`WA_INACTIVE` 表示窗口失去激活状态。 #### 4. 分析程序执行流程当断点命中时，程序会暂停运行。此时可以逐步分析代码执行流程： - **单步步入 (Step Into)**：按 `F7` 键进入函数内部，查看具体实现。 - **单步步过 (Step Over)**：按 `F8` 键跳过当前函数调用，继续执行下一行代码。 - **查看变量值**：在调试窗口中检查关键变量的值，例如窗口句柄 (`HWND`) 或激活状态 (`wParam`)。 #### 5. 检查信号或线程停止如果游戏在窗口未激活时被暂停，可能是由于某种信号或线程机制导致。可以使用以下命令检查： ```plaintext info program: 查看当前程序是否正在运行，以及暂停的原因。 info threads: 列出所有线程及其状态，检查是否有线程处于阻塞状态。 ``` 这类似于 gdb 中的 `info program` 和 `info threads` 命令[^1]。 #### 6. 修改行为以验证假设如果发现游戏在窗口未激活时被暂停的原因，可以通过热补丁技术临时修改代码行为。例如，将某些检查窗口状态的逻辑跳过： ```assembly nop: 将检查窗口状态的指令替换为 NOP 指令。 jmp: 使用短跳转或长跳转指令绕过特定代码块。 ``` 这种方法类似于引用中的热补丁技术[^3]。 #### 7. 恢复程序运行并观察结果完成分析后，可以使用 `c` 或 `continue` 命令恢复程序运行，并观察修改后的行为是否符合预期。 --- ### 示例代码片段以下是一个简单的汇编代码片段，用于绕过窗口状态检查： ```assembly ; 修改 mov edi, edi 为短跳转指令 mov edi, edi ; 原始指令 jmp short bypass_check ; 替换为短跳转 nop ; 修改前的 NOP 指令 nop nop nop nop bypass_check: jmp long_target_address ; 长跳转到目标地址 ``` --- ### 注意事项 - 确保调试环境稳定，避免对系统造成不必要的影响。 - 在修改代码行为时，务必小心，以免导致不可预测的结果。 ---