网站 › 『逆向资源区』 › x32dbg/x64dbg之条件断点生成器改良第三终结版

冥界3大法王 发表于 2021-4-14 13:14

x32dbg/x64dbg之条件断点生成器改良第三终结版

本帖最后由 冥界3大法王 于 2021-4-15 08:27 编辑


      大家好接下来我们说的是条件断点。还不会用的同学们注意了，
其实这个东西还是比较简单的。无论你之前是否使用过Ollydbg或x32dbg/x64dbg
应该对这个东西并不陌生。当我们来到某个VA地址（虚拟地址时）此时你会对
当前的寄存器的某个数值或字符串，或堆栈中显示的某个东西吧感兴趣。
比如这个地方程序对其进行了15000次读取文件或读取注册表键值的操作，
又或者说这个API地址是个公共的模块，比如LoadString函数。
      我们只希望当它读取授权KEY这次发生时才会有效的断下来，此时条件断点
的作用就非常的大了，它代替人工计算判断相关值是否满足条件，成立则被
断下，不成立则放行通过。





(1)操作前你得精准选位，不然打死谁？明确目标不确定，可是费功费时的哟~~
(2)至少你得熟练的知道谁对应谁吧？见语音视频第2模块中提到的地方
(3)有效的测试方法就是弹框测试了
(4)组合你的表达式
(5)此时先用条件记录断点记下参数和各数值
(6)现在就可以使用精确的数值在条件断点中去了




已知x32dbg/x64dbg条件断点的缺陷：
比如你在字符串的地址处执行下面的命令
msg {s:eax}   //弹框显示当前寄存器中的字符串
log {s:eax}      //把寄存器中的字符串输出到日志窗口去
如输入的是英文字符串，我们可以正确得到字符串
而如果是中文的呢？ 则不支持显示汉字哟~~ 最后得到的是？？？
非也非也，需要新版+16进制区编码转换

目前可以配合字符串比较插件
判断向下执行来间接解决

=======★=======★=======★=======★=======★=======★
         速记口诀：
空白中括用数字；
双引来了取字符；
一个中括取其值；
两个取其值的值；
三个以上以此推；
两者比较用安的；
表示或来双竖线；
字符比较是饭桶；
目前不能随君愿；
不能比较只能取；
取时仅亲英文符；
其他表达选单选；
先弹后展来测试；
最后连携来组合；
条断生成帮你忙；
用美之后多点赞；
视频之中帮我忙；
论坛之中多回贴；
百年以后记住我；
曾经是你好朋友；https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif
悠悠岁月催人老；
劝君逆向用歌诀；
多多总结属于你。

一等赋值二等比较；https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif
两和同时两竖或者；https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif
逗号隔参分号连多；https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif
匹配内容注重格式；https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif
叉十六进点十进制。https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif



热键F2测试:
把以下内容搞到命令行处方便测试当前哪种符合实情？msg 1号 {ascii@粘入的地址} 2号 {ansi@粘入的地址} 3号 {utf8@粘入的地址} 4号 {utf16@粘入的地址}目前这东西不能换行，编程搞成菜单吧，你得测试4次，所以不如一行一次弹框展示，看看几号符号要求？使用时，删掉 X号后面的。。。。https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif如： msg 1号 {ascii@粘入的地址}导演都差点忘了https://uploadfile.huiyi8.com/2014/1114/20141114020406687.gif
(又或许F6更合理吧。有点后悔了~~{:301_999:}貌似F1-F12中也就F6没被占用吧？
https://www.bilibili.com/video/BV1Uy4y1x7XD
https://wwi.lanzouj.com/iHTBgo1v2ud

列明 发表于 2021-4-14 15:06

期待
【+1】
不過看着還是挺複雜的。
我想着是不是可以將那些寄存器什麽的術語轉化為更加直白的話。
比如說可以設置彈出窗口前斷下，
窗口需要滿足的條件是：
標題包含或者不含指定內容，
標題長度範圍；
再比如可以指定所有寄存器不論哪一個，
只要出現指定內容就斷下。
這樣用着就簡單多了。

冥界3大法王 发表于 2021-4-14 13:26

bester 发表于 2021-4-14 13:21
等会我就写成插件 hhh但是好像日志是不支持导出txt的吧 我好像没有用到过

@bester
Scriptw插件中有一命令可以满足你这种需求

涛之雨 发表于 2021-4-14 13:19

好活当赏，不愧是法王大佬

Avenshy 发表于 2021-4-14 13:21

太强了 真的太强了

lvcaolhx 发表于 2021-4-14 13:21

法王大佬的作品都是精品。

bester 发表于 2021-4-14 13:21

等会我就写成插件 hhh但是好像日志是不支持导出txt的吧 我好像没有用到过

studyC 发表于 2021-4-14 13:23

速记口决这个厉害，谢谢，谢谢

redapple2015 发表于 2021-4-14 13:24

不愧是法王大佬，期待中

freecat 发表于 2021-4-14 13:39

不错的工具 期待了

djxding 发表于 2021-4-14 13:45

向大牛学习，期待作品。

查看完整版本: x32dbg/x64dbg之条件断点生成器改良第三终结版