[原创]x64dbg快速找call插件-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]x64dbg快速找call插件

发表于: 2023-7-9 22:55 31462

[原创]x64dbg快速找call插件

hambaga

2023-7-9 22:55

31462

不知道各位调试GUI程序时，想定位某个功能的代码一般是用什么方式呢？通常我们会根据经验在某个系统API下断，然后栈回溯往上找关键call。
为了简化这个过程，我借鉴cheat engine找数据的方法，开发了一个找call的调试器插件。插件原理是扫描用户模块（exe+dll）中的函数，然后设置breakif(0)的条件断点，这样就可以获取函数被调用的次数。随后我们触发一次某个功能，就搜索一次调用次数，这样很快就能找到关键call。
下面是用法演示：
比如我们想知道winspy++程序是如何枚举窗口的，最直接的方式就是找到"Refresh"按钮的点击事件：

图片描述

先让程序跑起来，然后调出插件，点击"scan functions"按钮，默认会以“快速模式”扫描主模块中的函数并下断点：

图片描述

然后我们点击一次"Refresh"按钮，在call count文本编辑框输入1，再点击search：

图片描述

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2023-9-27 23:49 被hambaga编辑，原因：更新附件

#调试逆向

上传的附件：

output.zip （414.44kb，170次下载）

收藏・113

免费・43

支持

赞赏记录

参与人

雪币

留言

时间

mb_ublvjmjd

这个讨论对我很有帮助，谢谢！

2024-10-16 14:23

_Smile`Melo

期待更多优质内容的分享，论坛有你更精彩！

2024-8-6 09:36

wx_king_794

你的帖子非常有用，感谢分享！

2024-6-4 11:25

mb_becypene

为你点赞~

2024-4-18 08:11

mb_sragaosm

为你点赞~

2024-2-20 21:49

MsScotch

为你点赞~

2024-2-19 10:49

xiwushgya

为你点赞~

2024-1-12 15:52

一笑人间万事

为你点赞~

2023-12-28 01:24

科学上网

为你点赞~

2023-12-3 10:05

陕西2022

为你点赞~

2023-11-12 12:12

ddwwtom

为你点赞~

2023-9-28 18:16

pnczk

为你点赞~

2023-9-28 15:36

mb_xnchcbqv

为你点赞~

2023-9-1 04:46

hkdong

为你点赞~

2023-8-30 08:34

文西哥

为你点赞~

2023-8-29 22:57

mb_yfioexda

为你点赞~

2023-8-22 10:38

Kaining

为你点赞~

2023-8-17 11:09

水竹喵

为你点赞~

2023-8-14 18:48

大什么

为你点赞~

2023-8-3 12:07

hacktu

为你点赞~

2023-7-21 11:06

旺仔_小可爱

为你点赞~

2023-7-20 17:13

StardyGod

为你点赞~

2023-7-20 11:36

Grav1ty

为你点赞~

2023-7-20 01:29

yu781129965

为你点赞~

2023-7-15 08:21

lynxtang

为你点赞~

2023-7-14 09:47

AEVE

为你点赞~

2023-7-14 09:29

yp太阳神

为你点赞~

2023-7-13 13:48

Choi-Jungwoo

为你点赞~

2023-7-12 17:09

vay

为你点赞~

2023-7-12 07:15

兔先生

为你点赞~

2023-7-11 18:20

yulon

为你点赞~

2023-7-11 08:26

zhczf

为你点赞~

2023-7-10 23:09

Hades一KXXY

为你点赞~

2023-7-10 16:38

bitt

为你点赞~

2023-7-10 14:19

mb_dtidoewd

为你点赞~

2023-7-10 14:13

yjd

为你点赞~

2023-7-10 11:47

qqzxc

为你点赞~

2023-7-10 10:36

kanxue

为你点赞~

2023-7-10 10:32

狄人3

为你点赞~

2023-7-10 10:29

chinarenjf

为你点赞~

2023-7-10 09:44

speedboy

为你点赞~

2023-7-10 09:32

nevinhappy

为你点赞~

2023-7-10 08:55

huangjw

为你点赞~

2023-7-9 23:04

打赏 + 25.00雪花

游乐娃子

执着的追求

打赏次数 2

雪花 + 25.00

游乐娃子	+20.00	2023/07/11	助人为乐～
执着的追求	+5.00	2023/07/10	思路很棒。

最新回复 (63) 1 2 3 ▶
huangjw 雪币： 4460 活跃值： (6706) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 2 关注私信	huangjw 2 楼赞一个先 2023-7-9 23:05 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2023-7-9 23:47 1
romobin 雪币： 7946 活跃值： (4689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 236 粉丝 44 关注私信	romobin 4 楼可以啊！关键是想法的创意好，难度不算高，想法太棒了！非常赞 2023-7-10 04:01 0
ninebell 雪币： 35726 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 5 楼图片挂了，哥们！能否加上是否踩中功能？貌似配合调试视图即可办到。 2023-7-10 04:48 0
romobin 雪币： 7946 活跃值： (4689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 236 粉丝 44 关注私信	romobin 6 楼测试效果不错，反馈个bug，插件会导致程序无法停在入口点，直接跑飞 2023-7-10 04:52 0
andydau 雪币： 162 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 2 关注私信	andydau 7 楼很赞的插件，后续继续加油 2023-7-10 07:44 0
andydau 雪币： 162 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 2 关注私信	andydau 8 楼插件会导致程序无法停在入口点，直接跑飞 2023-7-10 08:01 0
speedboy 雪币： 8848 活跃值： (3088) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 9 楼喜欢傻瓜模式 2023-7-10 09:32 0
yuyuchun 雪币： 257 活跃值： (710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 80 粉丝 1 关注私信	yuyuchun 10 楼插件挺好,但体验过程有以下问题: 1.调试的软件会直接跑起来???没停在入口? 2.查找函数的时间如果能快一点的话可能体验更好,或者是弄一个搜索的进度条? 3.找出的CALL能否加一个右键全部下断点的功能? 4.现在是不是只增增加1次???加第二次我点了没反应? 2023-7-10 09:57 0
axiong 雪币： 5709 活跃值： (2583) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	axiong 11 楼构思很巧妙 2023-7-10 10:02 0
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 12 楼 yuyuchun 插件挺好,但体验过程有以下问题: 1.调试的软件会直接跑起来???没停在入口? 2.查找函数的时间如果能快一点的话可能体验更好,或者是弄一个搜索的进度条? 3.找出的CALL能否加一个右键全部下 ... 1.入口跑飞是因为附加后自动bc清除断点，我稍后调整一下； 3.扫描函数后会自动下断点breakif(0) 4.编辑框输入的数字就是函数调用次数，需要手动改 2023-7-10 10:09 0
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 13 楼 ninebell 图片挂了，哥们！能否加上是否踩中功能？貌似配合调试视图即可办到。没太明白，有参考资料吗 2023-7-10 10:10 0
andydau 雪币： 162 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 2 关注私信	andydau 14 楼 hambaga 没太明白，有参考资料吗不是附加的时候一样跑飞，载入程序就跑飞了，需要调整一下程序逻辑。还有那个API断点插件，重载的时候断点一直都在，哪怕是取消了断点再重载还是会存在断点的bug 2023-7-10 10:23 0
gamehack 雪币： 6095 活跃值： (5510) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 427 粉丝 18 关注私信	gamehack 15 楼感谢分享! 2023-7-10 10:42 0
huangyalei 雪币： 25393 活跃值： (4767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 16 楼 andydau 不是附加的时候一样跑飞，载入程序就跑飞了，需要调整一下程序逻辑。还有那个API断点插件，重载的时候断点一直都在，哪怕是取消了断点再重载还是会存在断点的bug 楼主的附加跟你的附加不是一回事，程序载入就附加了，这时清除断点就会把原有的断点清除，只要载入过的软件断点都会没有了，也没有备份，这对我这种喜欢在断点上做记录的不是很友好，如果能手动选择是否启用插件，并提供备份功能（其实就是备份db目录下的.dd64文件），这样就比较人性化了；API断点插件要清除断点需要在插件里取消勾选，在断点列表删除断点会自动再加上，所以你会以为是断点没有删除成功 2023-7-10 10:51 0
sunsjw 雪币： 8761 活跃值： (5220) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 17 楼这就是创新。。。 2023-7-10 11:00 0
文西哥雪币： 4718 活跃值： (3703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 18 楼思路很好呀，可以继续完善插件 2023-7-10 12:42 0
qqzxc 雪币： 4207 活跃值： (4262) 能力值： ( LV3，RANK：37 ) 在线值：发帖 10 回帖 68 粉丝 48 关注私信	qqzxc 19 楼和ce的code filter基本差不多。但是看着比ce的好使点 2023-7-10 14:59 1
gtict 雪币： 268 活跃值： (3233) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 20 楼找到四万个多断点，，直接卡死~~ 2023-7-10 15:45 1
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 21 楼 gtict 找到四万个多断点，，直接卡死~~ 超过1000+断点会卡爆，后续再想办法优化，目前是调不了游戏的 2023-7-10 16:05 0
tDasm 雪币： 14846 活跃值： (6078) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 22 楼原代码级?代码加花或混淆就找不到call。对所有call下断效率低执行速度慢。既然是原代码，直接用IDA反编译再分析比较好。再就是你说的，对相关api下断再回朔也可以。你这个优点是适合盲扫call 最后于 2023-7-10 16:16 被tDasm编辑，原因： 2023-7-10 16:15 0
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 23 楼 qqzxc 和ce的code filter基本差不多。但是看着比ce的好使点学习了 2023-7-10 16:17 0
pizazzboy 雪币： 4515 活跃值： (1685) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 2 关注私信	pizazzboy 24 楼感谢分享精彩的思路。 2023-7-10 16:50 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 25 楼思路不错，很适合爆破一些功能限制的程序 2023-7-10 16:55 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hambaga

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (63) 1 2 3 ▶
huangjw 雪币： 4460 活跃值： (6706) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 2 关注私信	huangjw 2 楼赞一个先 2023-7-9 23:05 0
秋狝雪币： 3059 活跃值： (30876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 3 楼感谢分享 2023-7-9 23:47 1
romobin 雪币： 7946 活跃值： (4689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 236 粉丝 44 关注私信	romobin 4 楼可以啊！关键是想法的创意好，难度不算高，想法太棒了！非常赞 2023-7-10 04:01 0
ninebell 雪币： 35726 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 5 楼图片挂了，哥们！能否加上是否踩中功能？貌似配合调试视图即可办到。 2023-7-10 04:48 0
romobin 雪币： 7946 活跃值： (4689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 236 粉丝 44 关注私信	romobin 6 楼测试效果不错，反馈个bug，插件会导致程序无法停在入口点，直接跑飞 2023-7-10 04:52 0
andydau 雪币： 162 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 2 关注私信	andydau 7 楼很赞的插件，后续继续加油 2023-7-10 07:44 0
andydau 雪币： 162 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 2 关注私信	andydau 8 楼插件会导致程序无法停在入口点，直接跑飞 2023-7-10 08:01 0
speedboy 雪币： 8848 活跃值： (3088) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 436 粉丝 0 关注私信	speedboy 9 楼喜欢傻瓜模式 2023-7-10 09:32 0
yuyuchun 雪币： 257 活跃值： (710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 80 粉丝 1 关注私信	yuyuchun 10 楼插件挺好,但体验过程有以下问题: 1.调试的软件会直接跑起来???没停在入口? 2.查找函数的时间如果能快一点的话可能体验更好,或者是弄一个搜索的进度条? 3.找出的CALL能否加一个右键全部下断点的功能? 4.现在是不是只增增加1次???加第二次我点了没反应? 2023-7-10 09:57 0
axiong 雪币： 5709 活跃值： (2583) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	axiong 11 楼构思很巧妙 2023-7-10 10:02 0
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 12 楼 yuyuchun 插件挺好,但体验过程有以下问题: 1.调试的软件会直接跑起来???没停在入口? 2.查找函数的时间如果能快一点的话可能体验更好,或者是弄一个搜索的进度条? 3.找出的CALL能否加一个右键全部下 ... 1.入口跑飞是因为附加后自动bc清除断点，我稍后调整一下； 3.扫描函数后会自动下断点breakif(0) 4.编辑框输入的数字就是函数调用次数，需要手动改 2023-7-10 10:09 0
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 13 楼 ninebell 图片挂了，哥们！能否加上是否踩中功能？貌似配合调试视图即可办到。没太明白，有参考资料吗 2023-7-10 10:10 0
andydau 雪币： 162 活跃值： (893) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 2 关注私信	andydau 14 楼 hambaga 没太明白，有参考资料吗不是附加的时候一样跑飞，载入程序就跑飞了，需要调整一下程序逻辑。还有那个API断点插件，重载的时候断点一直都在，哪怕是取消了断点再重载还是会存在断点的bug 2023-7-10 10:23 0
gamehack 雪币： 6095 活跃值： (5510) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 427 粉丝 18 关注私信	gamehack 15 楼感谢分享! 2023-7-10 10:42 0
huangyalei 雪币： 25393 活跃值： (4767) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 16 楼 andydau 不是附加的时候一样跑飞，载入程序就跑飞了，需要调整一下程序逻辑。还有那个API断点插件，重载的时候断点一直都在，哪怕是取消了断点再重载还是会存在断点的bug 楼主的附加跟你的附加不是一回事，程序载入就附加了，这时清除断点就会把原有的断点清除，只要载入过的软件断点都会没有了，也没有备份，这对我这种喜欢在断点上做记录的不是很友好，如果能手动选择是否启用插件，并提供备份功能（其实就是备份db目录下的.dd64文件），这样就比较人性化了；API断点插件要清除断点需要在插件里取消勾选，在断点列表删除断点会自动再加上，所以你会以为是断点没有删除成功 2023-7-10 10:51 0
sunsjw 雪币： 8761 活跃值： (5220) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 17 楼这就是创新。。。 2023-7-10 11:00 0
文西哥雪币： 4718 活跃值： (3703) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 18 楼思路很好呀，可以继续完善插件 2023-7-10 12:42 0
qqzxc 雪币： 4207 活跃值： (4262) 能力值： ( LV3，RANK：37 ) 在线值：发帖 10 回帖 68 粉丝 48 关注私信	qqzxc 19 楼和ce的code filter基本差不多。但是看着比ce的好使点 2023-7-10 14:59 1
gtict 雪币： 268 活跃值： (3233) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 20 楼找到四万个多断点，，直接卡死~~ 2023-7-10 15:45 1
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 21 楼 gtict 找到四万个多断点，，直接卡死~~ 超过1000+断点会卡爆，后续再想办法优化，目前是调不了游戏的 2023-7-10 16:05 0
tDasm 雪币： 14846 活跃值： (6078) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 22 楼原代码级?代码加花或混淆就找不到call。对所有call下断效率低执行速度慢。既然是原代码，直接用IDA反编译再分析比较好。再就是你说的，对相关api下断再回朔也可以。你这个优点是适合盲扫call 最后于 2023-7-10 16:16 被tDasm编辑，原因： 2023-7-10 16:15 0
hambaga 雪币： 183 活跃值： (2576) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 40 粉丝 45 关注私信	hambaga 23 楼 qqzxc 和ce的code filter基本差不多。但是看着比ce的好使点学习了 2023-7-10 16:17 0
pizazzboy 雪币： 4515 活跃值： (1685) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 2 关注私信	pizazzboy 24 楼感谢分享精彩的思路。 2023-7-10 16:50 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 25 楼思路不错，很适合爆破一些功能限制的程序 2023-7-10 16:55 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复