合购VIP资源论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

魔鬼作坊全套软件编程VIP教材[更新到最新]
重楼C++辅助是如何炼成的教材
独立团编程培训系列教材全套
九尾狐EZ按键脚本VIP系列教程
VC++传奇三逆向研究三部曲 打包
江中游VIP系列按键精灵培训班
播布客新概念C语言视频教程
小生我怕怕中级班破解培训教材[价值2000元]
紫猫VIP按键精灵培训教程
2013饭客大型职业入侵渗透特训班
蓝丝雨TC《商业辅助是怎样炼成的》
老A淘宝打造爆款系列教材[更新至第九期]
上百G电脑维修硬件维修手机维修教程
菜鸟腾飞MetaSploit渗透测试平台之应用
甲壳虫VIP绝版SEO优化系列教程
半斤八两VIP初级破解班1-27官方售价500元
半斤八两中级破解教程价值1000元
天都吧全站教程高清无密更新完毕
暗月渗透系列教程第一套更新完毕
暗月渗透系列教程第二套更新完毕
DIY商业辅助学院201VIP教程[基础实战LUA篇]
老王Python培训视频教程(价值500元)
2014年小七免杀论坛VIP系列第三季 (美女讲师)
一洋2014淘宝培训最新教程16个模块(价值2980元)
大猛网赚编程系列教程(价值699元)
C++ Primer视频教程(初级,中级,高级全套)
轩辕IT培训 Linux C++ 远程全科班[价值500元]
C++实地培训教程[持续更新中]
魔域辅助系列教程(价值300元)
burpsuite系列视频教程高清无KEY 
 侠客C#营销软件开发特训(价值880元)[高清版]
滴水网络初级逆向培训视频(价值800元)逆向必备
某米网价值2399元钻石VIP会员视频
价值上万元淘宝大学电子商务培训教材
敬伟PS教程/PS5 6视频教材书/平面 广告设计淘宝美工自学全套高清
安全渗透测试实践高级系列课程[价值1500元]
AGP驱动高级班VIP零基础游戏反驱动保护教程
7000元AGP论坛远程VIP培训班
梦幻西游2辅助系列视频教程
龙之谷辅助系列视频教程
世恒百集易语言教程全套100集更新完毕
广告位置招租150/月 联系QQ:1595000430
Hadoop七天培训[更新完毕] JAVA上海培训基础就业班 达内C++ 2014 培训第一期视频教程
Windows程序设计第五版视频教程[价值1700]
SEO培训史上最强SEO培训(价值4980元)[高清完整版]
老男孩python高级运维开发课程(高清完整版)
老男孩OpenStack企业私有云实战培训课程(价值800元)
Java 编程思想系列教程[初级中级高级]
在线开通VIP会员联系QQ:1595000430点击这里给我发消息
在线开通VIP会员联系QQ:1595000430点击这里给我发消息 
上千G精品VIP教程目录请点击这里 加入VIP会员全站无限制下载 免费获取VIP会员说明详细点击
永久电影资源采集网
超级资源采集网--用心创造快乐

OK资源网无水印高清资源

速播资源-更新快速度保证也不卡
广告位招租联系QQ:1595000430
永久电影资源采集网
永久电影资源采集网
8k资源网超清资源国内百G带宽
广告位招租联系QQ:1595000430
查看: 94|回复: 0

64位数据扫描及工具介绍

[复制链接]
  • TA的每日心情
    开心
    昨天 22:33
  • 签到天数: 24 天

    [LV.4]偶尔看看III

    9

    主题

    33

    帖子

    69

    合购币

    ○小试身手●

    UID
    277002
    积分
    102
    合购币
    69 枚
    注册时间
    2019-5-23
    最后登录
    2020-2-26
    发表于 2020-1-10 13:22:42 | 显示全部楼层 |阅读模式
    本帖最后由 任鸟飞 于 2020-1-17 12:27 编辑

    大家好!

    1.png


    今天要为大家分享的是——64位数据扫描及工具介绍!

    x64位程序的分析,主要用到两款工具,而这两款工具同x32位程序的分析工具类似,一款是CE,另一款则是xdbg64。
    CE与x32的用法大致相同,主要用来对数据的突破口及地址进行扫描(如图)

    2.png


    有人可能会说64位程序应该用8字节来扫描,其实大部分作为突破口的数据都是从4字节开始扫描的,因为64位地址的需求还不是那么大,有些游戏数据中甚至只有基地址等少量地址是8字节的,其他的都是只有4字节的有效数据。虽然我们扫描的是4字节的数据,但是在64位的CE中是可以扫描出8字节的地址的(如图)


    3.png


    当然也有一些游戏中会出现很多的8字节的数据(如图)

    4.png


    这是一款游戏中的某种对象的ID,虽然这个ID是8字节的,但是我们看到他的地址缺只是4字节的。所以说目前为止,对于64位程序的数据,大部分还是以4字节为主的,灵活的去运用ce的扫描功能才是关键。
    ce的其他功能和32位都大体相同,毕竟是同一款软件的不同版本,这里就不过多的讲解了。


    5.png


    下面我们来看一下xdbg64,xdbg也分为32和64版本,他的界面和功能都和OD很像。随着游戏公司对OD的检测力度越来越大,xdbg也逐渐成为逆向调试器的主流。不过xdbg明显还是不如OD好用,有很多插件都没有被完美的移植(如图)

    6.png


    图中是一款xdbg64的界面,从左到右,从上到下,依次为反汇编窗口,寄存器窗口,参数窗口,数据窗口,以及堆栈窗口。这些都是xdbg64的常用显示窗口,除了参数窗口是为了让我们更加清晰和容易的分析x64程序的函数参数,其他的和OD都没有什么差别。
    下面有几个与32为OD操作不同的地方,我们着重看一下。
    首先是查找用户的注释,在OD中我们可以在反汇编窗口中点右键来找到,但是在xdbg中是没有的,我们需要再左上方的视图中,或者在快捷按钮中找到(如图)

    7.png



    在数据定位时,反汇编窗口需要拉倒顶端去查找,否则的话会漏掉很多(如图)(如图)

    8.png


    9.png



    这是我们在不同位置使用相同的机器码进行的定位,这说明xdbg的定位只能定位到模块内以下的代码,而无法将上面的特征定位到。
    然后是数据窗口中跟随数据,在OD32中我们可以通过DD DB等指令去跳转并查看地址中的信息,但是在有些xdbg64中,这类插件并没有被完善,所以我们只能通过ctrl+g的方式去跳转到我们需要查看的地址(如图)

    10.png


    还有一些细节方面的不同,比如模块列表无法通过ALT+E查看,只能在上方导航栏点击符号进行查看(如图)

    11.png


    以上就是在使用xdbg64中需要注意的一些地方,其他的内容我们会在后面的文章和视频中进行详细的讲解。

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|手机版|Archiver|合购VIP资源论坛 |网站地图

    GMT+8, 2020-2-27 10:32 , Processed in 0.125000 second(s), 28 queries .

    Powered by Discuz! X3.4

    Copyright © 2001-2020, Tencent Cloud.

    快速回复 返回顶部 返回列表