记录更新时间：2021年3月10日
一问一答，学海无涯
此贴记录使用x64dbg调试软件出现的问题，以及解决办法，帮助伙伴们快速入手这款调试工具

已解决：右键-在内存布局中转到

在用OD的时候有个DD命令感觉很好用，但是在x64dbg中执行后，发现不是那么回事，执行效果如下图所示：

有伙伴说该插件安装失败，今天晚上抽空实验下，记录如下

排查环境
Win7

Win10

运行x64dbg，查看安装效果

当通过一些其它辅助软件或收集到的信息，知道了关键的判断地址，想转到此地址如何操作：
汇编窗口右键-转到-表达式或快捷键Ctrl G,在输入框内输入要转到的地址即可

暂停记录，愿学习不要止步于此

• 问题：如何查看最近调试了那些程序，其配置信息保存在那里
• 问题：x64dbg如何安装插件
• 问题：x64dbg保存调试数据（软件主题未修改，在调试器中重新运行也还是保存调试数据：修改汇编指令），如何清除保存的调试数据
• 问题：x64dbg如何查看数据地址常量
• 问题：如何保存调试，修补文件失败如何解决
• 问题：如何使用x64dbg查询模块基址
• 问题："DD"去那了
• 问题：x64dbgpy插件安装
• 问题：如何转到指定地址

• 已解决，可点击文件-最近打开的文件查询，可在配置 INI 文件的 Recent Files 段中找到
  
  注意：步显示无法调试的文件，例如调试123.exe时告知此程序无法调试，之后你在最近打开的文件查询中是查询不到的

• 已解决，将下载好的插件copy到plugins文件夹
  
  注意：x64dbg解压完毕不会出现该文件夹，需运行对应位数的行x64dbg之后才会在其对应的位数目录生成该文件夹，插件有位数区别，切记copy到对应的目录
  举例

• 猜测：插件干扰:已验证为插件干扰
• 已解决，已找到源头，但仍在研究问题出现原因
  
• 主要影响源为AutoExportPatches.dp32：删除改插件去除影响
• 但发现删除AttachHelper.dp33保留AutoExportPatches.dp32会去除此次影响，在次调试仍会出现保存调试记录现象,比较绕换一个说法：
• 表象：AttachHelper.dp33
• 核心：AutoExportPatches.dp32
• 在插件中只显示表象信息，核心无显示，如下图
  
• 问题：保存调试数据，无法清除，重新运行程序(Ctrl F12)或重新载入程序，仍会调用上次调试的数据，但他没有修改主程序，只是把调试记录保存，让x64dbg调用
• 表象与核心同时存在，会导致问题出现，删除表象，调试记录删除（不要开心的太早)也不显示存在插件，在次调试，例如更改数据89 75 为 89 00，重新运行程序(Ctrl F12)或重新载入程序后调试仍存在，删除核心保留表象，显示插件，但问题已不存在，同时删除表象与核心，问题消失
• 附件备份x64dbg保存调试数据.rar
• 反思：不要成批量的安装插件，先熟悉插件的用途，在安装使用

• 已解决：右键-查找引用-地址/常数
  
• x64dbg与OD地址常量显示对比
  

• 已解决：保存调试功能在补丁模块，快捷键CTRL P ，在文件、内容区域右键、菜单栏也可见
  
  
  
• 已解决：复制源程序并copy到桌面，修补copy的程序(源程序所在文件夹属性为受保护状态，需管理员权限才可进行操作)
  应用效果
  

• 已解决：右键-在内存布局中转到
  

  1 2 3 4 5 6

  地址=00007FF6B6090000        //模块基址 大小=0000000000001000 页面信息=abcmdr64.exe 分配类型=IMG 当前保护=-R--- 初始保护=ERWC-

• 已解决：百度大法了解到x64dbg 中使用dump指令,效果如下
  

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课