x64dbg是Windows的开源二进制调试器，专为恶意软件分析和可执行文件的逆向工程而设计，无需访问源代码。 它提供了广泛的功能和插件系统，允许您定制和扩展其功能以满足您的需求。   人们喜欢x64dbg的原因可能是它有一个UI，可以轻松地跳转并自动显示过程中发生的事情的上下文。 您可以跟随指针，并且UI显示可能的字符串，标签等的动态注释。 特点: 类似C的表达式解析器D

在CE和xdb中，形如*.exe+数字偏移形式的地址被称为模块地址，CE附加到进程后点击查看内存，显示如下图 这种地址学名叫做模块地址，在x64dbg中显示如下图： CE中可以关闭，从而显示绝对的虚拟地址，如下图所示 但是xdbg如何关闭，倒不是很清楚，不过最新版本的xdbg sub后面的就是绝对虚拟地址

UPX4.1.0 本文选用的壳是4.1.0的UPX壳 脱壳 样例文件 将加壳的exe文件拖入x64dbg 打开符号，进入第一个sample.exe 进入后在第一个位置下断点，按下F9运行 继续按下F9 单步运行到此处，发现只有RSP变红，根据ESP定律，进行下面的操作 所谓定律就像墨菲定律，想表达事物规律往往是这样的 ESP定律就是当只有ES

背景 很多时候在我们不知道目标程序调用了哪些 api 时，需要使用消息断点粗略的定位关键代码位置。比如在游戏里点击一次鼠标，可以根据这个消息向下跟踪点击完鼠标后游戏执行的逻辑。 方法 一个简单的消息循环是这样的 ： while( GetMessage(&msg,NULL,0,0) ) {TranslateMessage(&msg); //将 WM_XXXKE

首先我们将我们的木马移入x64dbg 第一种方法 通过命令寻找 disasm CreateRemoteThreadEx 第二种方法 将调试器附加到kernelbase.dll后转到符号选项卡，最后，在搜索栏中，我们可以搜索CreateRemoteThreadEx函数并双击它以获取下列：