x64dbg调试64位dll恶意文件

在对恶意文件分析的过程中，除了大部分情况下Windows平台里会遇到的exe可执行文件外，同样也会存在一些dll文件。而众所周知，ollydbg只能调试32位架构的程序，所以对于64位架构的恶意dll文件来说是无能为力的，所以对64位dll程序的调试我们通常会采用x64dbg。

以下版本的x64dbg为May 15 2020，可自行去网上下载使用。在调试恶意文件前将其文件名修改成dll后缀，之后启动x64dbg，找到System32文件夹下的rundll32.exe并加载，接着改变命令行。

所需的命令行如下，最后面的是指定的导出函数。

"C:WindowsSystem32rundll32.exe" "C:UsersonionDesktopXXXXXXXX.tmpDriverGFX.dll",updateCache

"C:WindowsSystem32rundll32.exe" "C:UsersonionDesktopXXXXXXXX.tmpDriverGFX.dll",#1

加载后会进入到rundll32.exe的入口代码：

为了调试指定的dll，需要设置相应的断点，避免运行后错过，设置DLL入口断点，可以在dll被rundll32.exe加载的时候让调试器自动中断下来。

此时F9运行后位于kernel32.dll模块：

再接着F9，直到到达所需调试的dll代码区域。

此时就可以对所需的dll进行调试，同样可以更改命令行参数去调试所需的导出函数。

原文始发于微信公众号（OnionSec）：x64dbg调试64位dll恶意文件