x64dbg日志不是“记流水账”,而是给程序行为装上行车记录仪
你有没有试过调试一个加了多层壳、还插着花式反调试的商业软件?断点设了几十个,单步跟了上千行,结果关键校验逻辑就藏在某个CALL返回后的寄存器突变里——而你刚按完 F8,它就一闪而过。这时候,不是你手慢,是调试器没帮你“盯住”。
x64dbg 的日志功能,恰恰就是那个不眨眼的观察员。它不打断执行,却把每一步跳转、每一次内存写入、每一个寄存器变化都悄悄记下。这不是日志,是程序运行时的证据链生成器。
它到底在记什么?别被“Log”这个词骗了
很多人第一次点开 x64dbg 的Options → Settings → Logging,看到一堆开关和{c}{r.rax}这样的占位符,下意识觉得:“哦,就是把当前指令地址打出来而已”。错。非常错。
x64dbg 日志系统本质是一个事件驱动的上下文快照引擎。它不依赖你在哪下了断点,而是监听 Windows Debug API 抛出的每一类调试事件:
- 你按了 F7/F8,它捕获的是SINGLE_STEP事件;
- 你设了个内存访问断点(ba w4 0x402000),它响应的是EXCEPTION_ACCESS_VIOLATION;
- 某个线程调用了CryptEncrypt,只要启用了API Call日志,它就能在函数入口/出口两个时间点分别抓取参数栈、返回值、甚至调用栈帧(需插件支持)。
更关键的是,它做的是差分采集。比如启用Register Change后,x64dbg 并不会每条指令都 dump 全部寄存器——而是在每次单步或断点命中后,拿当前
