我已将调试器附加到进程/应用程序(exe),但是当我转到字符串引用时,它显示的是ntdll.dll引用而不是程序。
如何从程序本身获取引用?
受保护吗?



评论

如果您想隐藏模块的名称,您还应该查看反汇编中的第四行:) ... btw:我认为调试器使用启发式方法向您展示交叉引用。肯定会有一些误报。

@ 0xC0000022L哈哈,我错过了:)正在用该编测试某些东西。感谢您的回答,我已经完成了类似的任务。

#1 楼

当x64d​​bg连接到进程时,它将首先在“附加断点”处停止。搜索字符串引用的按钮将搜索反汇编中当前显示的模块。要搜索另一个模块,您只需到那里。

一种方法是转到Symbols选项卡,然后双击您感兴趣的模块。这将带您进入代码部分模块的从那里您可以按按钮以搜索字符串引用。

评论


那是我做的,但是没用(总是回到ntddl.dll或其他模块),直到我在该模块上选择了“ RM”,然后选择了“在Disassembler中跟随输入点”,然后我才能在目标中搜索字符串模块。

– Nikos
19-10-19在20:15

#2 楼

方法是:

Debug -> Run to user code


然后您将看到程序本身的字符串。
x64dbg / x32dbg与其他任何调试器一样,带领您完成所有过程输入“主”之前的初始化代码。

评论


嗯,我只能看到“运行到用户”代码,但是当我转到字符串引用时,它仍然显示ntdll.dll。

–T.Todua
18 Jun 14'在9:19