tiny_tracer
2.9
أداة دبوس للتتبع:
يهرب بعض التقنيات المعروفة المضادة للدعم ومكافحة VM
يولد تقريرًا بتنسيق .tag (والذي يمكن تحميله في أدوات تحليل أخرى):
RVA;traced eventأي
345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
... لتجميع المشروع المعدل ، تحتاج إلى استخدام Visual Studio> = 2012. تم اختباره باستخدام Intel Pin 3.31.
استنساخ هذا الريبو في sourcetools الموجودة داخل دليل جذر الدبوس الخاص بك. افتح المشروع في Visual Studio and Build. وصف مفصل متاح هنا.
للبناء باستخدام دبوس Intel <3.26 على Windows ، استخدم مشروع Visual Studio Legacy المناسب.
في الوقت الحالي ، يكون دعم Linux تجريبيًا. ومع ذلك ، من الممكن بناء واستخدام Tiny Tracer على Linux أيضًا. يرجى الرجوع إلى Tiny_Runner.sh لمزيد من المعلومات. وصف مفصل متاح هنا.
تفاصيل حول الاستخدام الذي ستجده في ويكي المشروع.
للتوليد التلقائي من params.txt لتتبع وسيطات API ، جرب IAT-Tracer بواسطة Yoavlevi
install32_64 يمكنك العثور على أداة تحقق مما إذا كانت kernel debugger تعطيل ( kdb_check.exe ، المصدر) ، ويتم استخدامها بواسطة نصوص .bat tracer الصغيرة. في بعض الأحيان يتم وضع علامة على هذا التمثيل كبرامج ضارة من قبل Windows Defender (إنها إيجابية خاطئة معروفة). إذا واجهت هذه المشكلة ، فقد تحتاج إلى استبعاد دليل التثبيت من عمليات مسح Windows Defender.؟ أسئلة؟ أفكار؟ انضم إلى المناقشات!
