之前我们对64位的通用寄存器和一些常用的调试器功能有了初步的认识,下面我们来通过调试游戏,对64位的汇编指令进行了解。
首先我们先对一款游戏的内息值进行扫描,最终可以得到一个结果(如图)
在xdbg64中跟随地址,并在数据窗口中观察周围的地址(如图)
我们发现这地址其实是以4字节存放的,而在他的周围还有角色的一些其他的属性,也均是以4字节存放。于是我们在OD中下4字节的硬件访问断点,游戏在消耗内息,或者打开角色栏时游戏会断下(如图)
先将断点删点,在上方的标签中找到断点,右键删除其中的硬件断点,并将游戏运行起来(如图)
我们通过下在cmp edx,ebx处下F2断点,并F8单步执行来观察寄存器的变化(如图)(如图)
继续向上分析edx,如果代码代码段太长,观察起来不方便,可以点H,在点击edx寄存器,来对其进行高亮设置(如图)
0xa59cf5b6,这是一条位异或的指令,相当于一个简单的加密代码,而继续向上分析eax,则来源于mov eax, dword ptr [r12 + 0x178]
这里要注意逗号后面的赋值范围是dword,如果是qword则需要赋值8字节,不过既然是赋值给eax的那么自然不可能赋值8字节。这样就得到了数据的第一层偏移0x178。
继续向上分析r12的来源,可以得到来源于call 0x1a9cec0的返回值rax(如图)
