x64dbg多线程硬件断点的BUG-软件逆向-看雪-安全社区|安全招聘|kanxue.com

x64dbg多线程硬件断点的BUG

2023-7-16 16:52 6097

x64dbg多线程硬件断点的BUG

cheating

2023-7-16 16:52

6097

大家应该遇到过x64dbg给一个变量地址下硬断，之后删除断点，运行发现还是会断下，而且会崩溃，看了一下虽然你删除了DR0-DR3的值，但是依然还是删除不掉。
调试了x64dbg的源码，发现在
TitanEngine.Debugger.DebugLoop.cpp ->
__declspec(dllexport) void TITCALL DebugLoop() ->
输出 DR0-DR3 是没值的
ContinueDebugEvent
输出 DR0-DR3 居然有值了

也就是说，你删除DR0-DR3的值，在ContinueDebugEvent之前是没值的，但是当调用了ContinueDebugEvent 之后，DR0-DR3居然有值了。而且我在setthreadcontext下了断点，根本没有设置DR0-DR3，想不通什么原理。

有没有哪位大哥修复过的，关键点在哪里？

当然有人说那个是多线程的问题，我自己写了一个小程序。
fot i=0;i<10;i++
::Createthread(...(CheckThread));

CheckThread()
{
while(1)
{ indexnum++; }
}
给 indexnum 这个地址下访问硬断，在多线程确实会有一些线程删除不掉DR0的值，不过单线程就没有问题了。

想不通。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2023-7-22 02:13 被cheating编辑，原因：上传附件

#调试逆向

上传的附件：

CheckX64dbgBug.rar （4.86kb，6次下载）
样品文件.rar （126.18kb，3次下载）

收藏・1

点赞・2

打赏

最新回复 (18)
imliuxin 雪币： 26 活跃值： (1375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 47 粉丝 1 关注私信	imliuxin 2023-7-17 09:29 2 楼 0 Ida好像也遇到过，只能忍
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-7-17 09:51 3 楼 0 IDA X64DBG WINDBG 全都有这个毛病
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-17 10:44 4 楼 0 万剑归宗 IDA X64DBG WINDBG 全都有这个毛病[em_1] 不过CE就没有这个毛病，有什么思路改掉吗？
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-17 10:44 5 楼 0 imliuxin Ida好像也遇到过，只能忍不过CE就没有这个毛病，有什么思路改掉吗？
小希希雪币： 1524 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 322 粉丝 17 关注私信	小希希 2023-7-17 11:07 6 楼 0 hook waitfordebugevent 是自己设置过的硬件断点，而且已经清除，对所有线程的这个断点事件都处理一次，不要反回给系统
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-17 17:48 7 楼 0 小希希 hook waitfordebugevent 是自己设置过的硬件断点，而且已经清除，对所有线程的这个断点事件都处理一次，不要反回给系统不要返回给windows系统？
tDasm 雪币： 13495 活跃值： (4823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-7-19 08:10 8 楼 0 特意测试了一下，没发现你说的问题。很容易测试，在代码区设置一个硬件执行断点，然后看寄存器区域dr0的值是不是你设置的地址，再到断点管理窗口删除该断点，再看寄存器区dr0是不是为0？关闭调试器，再打开调试器调试该程序，看是不是还有该硬件断点？显然是没有的。
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-21 00:02 9 楼 0 tDasm 特意测试了一下，没发现你说的问题。很容易测试，在代码区设置一个硬件执行断点，然后看寄存器区域dr0的值是不是你设置的地址，再到断点管理窗口删除该断点，再看寄存器区dr0是不是为0？关闭调试器，再打 ... 第一：开10条线程访问同一个变量。第二：附加后对该变量下硬件访问断点第三：断下来后，你点击运行3-5次第四：删除硬件断点第五：点击运行，你会发现有很多有一些线程DR0是有值的。调试程序的时候，你关闭调试器干什么？
tDasm 雪币： 13495 活跃值： (4823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-7-21 08:10 10 楼 0 cheating 第一：开10条线程访问同一个变量。第二：附加后对该变量下硬件访问断点第三：断下来后，你点击运行3-5次第四：删除硬件断点第五：点击运行，你会发现有很多有一些线程DR0是有值的。 ... 你这样的思维也是醉了。不就是2种状态？ 1、调试时不关闭，检查删除的硬件断点是否存在？ 2、调试后关闭再调试，检查删除的硬件断点是否存在？既然你已经遇到，你就把你的调试样本发出来让大家测试不就完了？说那么多空话干吗？
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-21 11:33 11 楼 0 tDasm 你这样的思维也是醉了。不就是2种状态？ 1、调试时不关闭，检查删除的硬件断点是否存在？ 2、调试后关闭再调试，检查删除的硬件断点是否存在？既然你已经遇到，你就把你的调试样本发出来让大家测试 ... 已上传附件
huangyalei 雪币： 22002 活跃值： (3637) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 355 粉丝 7 关注私信	huangyalei 2023-7-21 13:23 12 楼 0 cheating 已上传附件真是服了你，让传样本就传个源码，你以为每台电脑上VS都是标配吗
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 01:15 13 楼 0 huangyalei 真是服了你，让传样本就传个源码，你以为每台电脑上VS都是标配吗样本文件已上传，下断地址：0x004AF880 附加进程后，在【内存窗口】中对 0x004AF880 下硬件访问断点，点击运行3-5次，之后删除硬件断点，再次点击运行，会发现有一些线程的DR0没有办法删除。最后于 2023-7-22 01:16 被cheating编辑，原因：文字表示有误
tDasm 雪币： 13495 活跃值： (4823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-7-22 08:38 14 楼 0 明确告诉你，X64DBG在硬件断点管理上是没有什么问题的，只是你对多线程的理解不够深刻，希望你自己仔佃去捉摸。当然x64dbg还可以更完美！
huangyalei 雪币： 22002 活跃值： (3637) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 355 粉丝 7 关注私信	huangyalei 2023-7-22 09:25 15 楼 0 我试了七八次，没能复现你的问题，你得检查一下是不是插件影响，或者不带插件调试
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 13:14 16 楼 0 tDasm 明确告诉你，X64DBG在硬件断点管理上是没有什么问题的，只是你对多线程的理解不够深刻，希望你自己仔佃去捉摸。当然x64dbg还可以更完美！直接下断就好，CE都没有这问题。
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 13:14 17 楼 0 huangyalei 我试了七八次，没能复现你的问题，你得检查一下是不是插件影响，或者不带插件调试我这没有插件，干干净净的，要下什么插件呢？我也下来看看
KooJiSung 雪币： 357 活跃值： (2598) 能力值： ( LV3，RANK：25 ) 在线值：发帖 5 回帖 691 粉丝 2 关注私信	KooJiSung 2023-7-22 13:53 18 楼 0 __declspec(dllexport) void TITCALL DebugLoop() -> 输出 DR0-DR3 是没值的 ContinueDebugEvent 输出 DR0-DR3 居然有值了既然是多线程，你应该再确定是否同一个线程，不完美就是问题
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 14:17 19 楼 0 KooJiSung __declspec(dllexport) void TITCALL DebugLoop() -> 输出 DR0-DR3 是没值的 ContinueDebugEvent 输出 DR0-DR ... __declspec(dllexport) void TITCALL DebugLoop() -> for (int i=0;....) { dr0 = threadarray(i);//遍历所有线程 dr0 均无值 } ContinueDebugEvent for (int i=0;....) { dr0 = threadarray(i);//遍历所有线程 dr0 有一些线程有值 } 不明白。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

cheating

发帖

128

回帖

RANK

关注

私信

他的文章

x64dbg有多少BUG，有哪位大佬能说一下BUG。

x64dbg多线程硬件断点的BUG

[讨论]x64dbg的一些BUG大家是怎么处理的？

[讨论]现在x64dbg新版本还有什么BUG吗？

[讨论]WH_KEYBOARD_LL反调试，都遇到吧。

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
imliuxin 雪币： 26 活跃值： (1375) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 47 粉丝 1 关注私信	imliuxin 2023-7-17 09:29 2 楼 0 Ida好像也遇到过，只能忍
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-7-17 09:51 3 楼 0 IDA X64DBG WINDBG 全都有这个毛病
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-17 10:44 4 楼 0 万剑归宗 IDA X64DBG WINDBG 全都有这个毛病[em_1] 不过CE就没有这个毛病，有什么思路改掉吗？
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-17 10:44 5 楼 0 imliuxin Ida好像也遇到过，只能忍不过CE就没有这个毛病，有什么思路改掉吗？
小希希雪币： 1524 活跃值： (3310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 322 粉丝 17 关注私信	小希希 2023-7-17 11:07 6 楼 0 hook waitfordebugevent 是自己设置过的硬件断点，而且已经清除，对所有线程的这个断点事件都处理一次，不要反回给系统
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-17 17:48 7 楼 0 小希希 hook waitfordebugevent 是自己设置过的硬件断点，而且已经清除，对所有线程的这个断点事件都处理一次，不要反回给系统不要返回给windows系统？
tDasm 雪币： 13495 活跃值： (4823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-7-19 08:10 8 楼 0 特意测试了一下，没发现你说的问题。很容易测试，在代码区设置一个硬件执行断点，然后看寄存器区域dr0的值是不是你设置的地址，再到断点管理窗口删除该断点，再看寄存器区dr0是不是为0？关闭调试器，再打开调试器调试该程序，看是不是还有该硬件断点？显然是没有的。
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-21 00:02 9 楼 0 tDasm 特意测试了一下，没发现你说的问题。很容易测试，在代码区设置一个硬件执行断点，然后看寄存器区域dr0的值是不是你设置的地址，再到断点管理窗口删除该断点，再看寄存器区dr0是不是为0？关闭调试器，再打 ... 第一：开10条线程访问同一个变量。第二：附加后对该变量下硬件访问断点第三：断下来后，你点击运行3-5次第四：删除硬件断点第五：点击运行，你会发现有很多有一些线程DR0是有值的。调试程序的时候，你关闭调试器干什么？
tDasm 雪币： 13495 活跃值： (4823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-7-21 08:10 10 楼 0 cheating 第一：开10条线程访问同一个变量。第二：附加后对该变量下硬件访问断点第三：断下来后，你点击运行3-5次第四：删除硬件断点第五：点击运行，你会发现有很多有一些线程DR0是有值的。 ... 你这样的思维也是醉了。不就是2种状态？ 1、调试时不关闭，检查删除的硬件断点是否存在？ 2、调试后关闭再调试，检查删除的硬件断点是否存在？既然你已经遇到，你就把你的调试样本发出来让大家测试不就完了？说那么多空话干吗？
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-21 11:33 11 楼 0 tDasm 你这样的思维也是醉了。不就是2种状态？ 1、调试时不关闭，检查删除的硬件断点是否存在？ 2、调试后关闭再调试，检查删除的硬件断点是否存在？既然你已经遇到，你就把你的调试样本发出来让大家测试 ... 已上传附件
huangyalei 雪币： 22002 活跃值： (3637) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 355 粉丝 7 关注私信	huangyalei 2023-7-21 13:23 12 楼 0 cheating 已上传附件真是服了你，让传样本就传个源码，你以为每台电脑上VS都是标配吗
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 01:15 13 楼 0 huangyalei 真是服了你，让传样本就传个源码，你以为每台电脑上VS都是标配吗样本文件已上传，下断地址：0x004AF880 附加进程后，在【内存窗口】中对 0x004AF880 下硬件访问断点，点击运行3-5次，之后删除硬件断点，再次点击运行，会发现有一些线程的DR0没有办法删除。最后于 2023-7-22 01:16 被cheating编辑，原因：文字表示有误
tDasm 雪币： 13495 活跃值： (4823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-7-22 08:38 14 楼 0 明确告诉你，X64DBG在硬件断点管理上是没有什么问题的，只是你对多线程的理解不够深刻，希望你自己仔佃去捉摸。当然x64dbg还可以更完美！
huangyalei 雪币： 22002 活跃值： (3637) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 355 粉丝 7 关注私信	huangyalei 2023-7-22 09:25 15 楼 0 我试了七八次，没能复现你的问题，你得检查一下是不是插件影响，或者不带插件调试
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 13:14 16 楼 0 tDasm 明确告诉你，X64DBG在硬件断点管理上是没有什么问题的，只是你对多线程的理解不够深刻，希望你自己仔佃去捉摸。当然x64dbg还可以更完美！直接下断就好，CE都没有这问题。
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 13:14 17 楼 0 huangyalei 我试了七八次，没能复现你的问题，你得检查一下是不是插件影响，或者不带插件调试我这没有插件，干干净净的，要下什么插件呢？我也下来看看
KooJiSung 雪币： 357 活跃值： (2598) 能力值： ( LV3，RANK：25 ) 在线值：发帖 5 回帖 691 粉丝 2 关注私信	KooJiSung 2023-7-22 13:53 18 楼 0 __declspec(dllexport) void TITCALL DebugLoop() -> 输出 DR0-DR3 是没值的 ContinueDebugEvent 输出 DR0-DR3 居然有值了既然是多线程，你应该再确定是否同一个线程，不完美就是问题
cheating 雪币： 46 活跃值： (1615) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 128 粉丝 8 关注私信	cheating 2023-7-22 14:17 19 楼 0 KooJiSung __declspec(dllexport) void TITCALL DebugLoop() -> 输出 DR0-DR3 是没值的 ContinueDebugEvent 输出 DR0-DR ... __declspec(dllexport) void TITCALL DebugLoop() -> for (int i=0;....) { dr0 = threadarray(i);//遍历所有线程 dr0 均无值 } ContinueDebugEvent for (int i=0;....) { dr0 = threadarray(i);//遍历所有线程 dr0 有一些线程有值 } 不明白。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复