安全研究员

x64dbg 自动化插件

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

任何一个成熟的软件都会具有可扩展性，可扩展性是现代软件的一个重要特征，因为它使软件更易于维护和适应变化的需求，x64dbg也不例外其可通过开发插件的方式扩展其自身功能，x64dbg提供了多种插件接口，包括脚本插件、DLL插件、Python插件和.NET插件等。此外，x64dbg还支持用户自定义命令和快捷键。这使得用户可以自由地扩展和自定义软件的功能，从而更好地适应开发需求。

1.5 为x64dbg编写插件

x64dbg 是一款开源、免费、功能强大的动态反汇编调试器，它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比，x64dbg调试器的出现填补了Ollydbg等传统调试器的不足，为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点，才能使其成为当今最受欢迎的反汇编调试软件之一。

1.1 熟悉x64dbg调试器

在前面的章节中相信读者已经学会了使用Metasploit工具生成自己的ShellCode代码片段了，本章将继续深入探索关于ShellCode的相关知识体系，ShellCode 通常是指一个原始的可执行代码的有效载荷，攻击者通常会使用这段代码来获得被攻陷系统上的交互Shell的访问权限，而现在用于描述一段自包含的独立的可执行代码片段。ShellCode代码的编写有多种方式，通常会优先使用汇编语言实现，这得益于汇编语言的可控性。

1.4 编写简易ShellCode弹窗

LyScript 插件提供的反汇编系列函数虽然能够实现基本的反汇编功能，但在实际使用中，可能会遇到一些更为复杂的需求，此时就需要根据自身需要进行二次开发，以实现更加高级的功能。本章将继续深入探索反汇编功能，并将介绍如何实现反汇编代码的检索、获取上下一条代码等功能。这些功能对于分析和调试代码都非常有用，因此是书中重要的内容之一。在本章的学习过程中，读者不仅可以掌握反汇编的基础知识和技巧，还能够了解如何进行插件的开发和调试，这对于提高读者的技能和能力也非常有帮助。

4.10 x64dbg 反汇编功能的封装

LyScript 插件中针对内存读写函数的封装功能并不多，只提供了最基本的内存读取和内存写入系列函数的封装，本章将继续对API接口进行封装，实现一些在软件逆向分析中非常实用的功能，例如ShellCode代码写出与置入，内存交换，内存区域对比，磁盘与内存镜像比较，内存特征码检索等功能，学会使用这些功能对于后续漏洞分析以及病毒分析都可以起到事半功倍的效果，读者应重点关注这些函数的使用方式。

4.9 x64dbg 内存处理与差异对比

堆栈是计算机中的两种重要数据结构 堆（Heap）和栈（Stack）它们在计算机程序中起着关键作用，在内存中堆区（用于动态内存分配）和栈区（用于存储函数调用、局部变量等临时数据），进程在运行时会使用堆栈进行参数传递，这些参数包括局部变量，临时空间以及函数切换时所需要的栈帧等。

4.8 x64dbg 学会扫描应用堆栈

所谓的应用层钩子（Application-level hooks）是一种编程技术，它允许应用程序通过在特定事件发生时执行特定代码来自定义或扩展其行为。这些事件可以是用户交互，系统事件，或者其他应用程序内部的事件。应用层钩子是在应用程序中添加自定义代码的一种灵活的方式。它们可以用于许多不同的用途，如安全审计、性能监视、访问控制和行为修改等。应用层钩子通常在应用程序的运行时被调用，可以执行一些预定义的操作或触发一些自定义代码。

4.7 x64dbg 应用层的钩子扫描

LyScript 插件中默认提供了多种内存特征扫描函数，每一种扫描函数用法各不相同，在使用扫描函数时应首先搞清楚不同函数之间的差异，本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用，并实现一种内存查壳脚本，可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。

4.6 x64dbg 内存扫描与查壳实现

钩子劫持技术是计算机编程中的一种技术，它们可以让开发者拦截系统函数或应用程序函数的调用，并在函数调用前或调用后执行自定义代码，钩子劫持技术通常用于病毒和恶意软件，也可以让开发者扩展或修改系统函数的功能，从而提高软件的性能和增加新功能。

4.5 x64dbg 探索钩子劫持技术

在Windows平台下，应用程序为了保护自己不被调试器调试会通过各种方法限制进程调试自身，通常此类反调试技术会限制我们对其进行软件逆向与漏洞分析，下面是一些常见的反调试保护方法：

4.4 x64dbg 绕过反调试保护机制

发现漏洞的第一步则是需要寻找到可利用的反汇编指令片段，在某些时候远程缓冲区溢出需要通过类似于jmp esp等特定的反汇编指令实现跳转功能，并以此来执行布置好的ShellCode恶意代码片段，LyScript插件则可以很好的完成对当前进程内存中特定函数的检索工作。

4.3 x64dbg 搜索内存可利用指令

通过运用LyScript插件并配合pefile模块，即可实现对特定PE文件的扫描功能，例如载入PE程序到内存，验证PE启用的保护方式，计算PE节区内存特征，文件FOA与内存VA转换等功能的实现，首先简单介绍一下pefile模块。

4.2 x64dbg 针对PE文件的扫描

在第一章中我们介绍了x64dbg这款强大的调试软件，通过该软件逆向工程师们可以手动完成对特定进程的漏洞挖掘及脱壳等操作，虽然x64dbg支持内置Script脚本执行模块，但脚本引擎通常来说是不够强大的，LyScript 插件的出现填补了这方面的不足，该插件的开发灵感来源于Immunity调试器中的ImmLib库，因Immunity调试器继承自Ollydbg导致该调试器无法支持64位应用的调试，同时该调试器也长期没有开发者进行维护，正是在这种情形之下LyScript诞生。

4.1 探索LyScript漏洞挖掘插件

通常情况下栈溢出可能造成的后果有两种，一类是本地提权另一类则是远程执行任意命令，通常C/C++并没有提供智能化检查用户输入是否合法的功能，同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出，这就给恶意代码的溢出提供了的条件，利用溢出攻击者可以控制程序的执行流，从而控制程序的执行过程并实施恶意行为，本章内容笔者通过自行编写了一个基于网络的FTP服务器，并特意布置了特定的漏洞，通过本章的学习，读者能够掌握漏洞挖掘的具体流程，及利用方式，让读者能够亲自体会漏洞挖掘与利用的神奇魔法。

5.2 基于ROP漏洞挖掘与利用

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了x64dbg 自动化插件专栏，为你提供了x64dbg 自动化插件的相关文章，致力于帮助开发者快速成长与发展。

x64dbg 自动化插件-腾讯云开发者社区

x64dbg 自动化插件

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐