ttddbg

Euen Achtung IDA 8 Benutzer: Wenn Sie TTDDBG mit IDA 8 verwenden

Dieses Plugin fügt IDA einen neuen Debugger hinzu, der das Ladedebugging -Debugging -Spuren unterstützt, das mit der Windbg -Vorschau erzeugt wird.

Dieses Plugin unterstützt sowohl X86- als auch X64 -Spuren sowie als IDA und IDA64.

Das Installieren des Plugins kann mit dem Installationsprogramm auf der Seite "Releases" erfolgen. Der Installationsprogramm installiert automatisch die erforderlichen Abhängigkeiten, sofern eine Kopie der Windbg -Vorschau installiert ist.

Nach der Installation können Sie das Plugin verwenden, indem Sie den ttddbg -Debugger in der IDA -Schnittstelle auswählen und Ihre *.run -Datei als "Anwendung" angeben. Hilfe bei der Generierung einer .run -Datei finden Sie unter HOWTO_TIME_TRAVEL.md .

Symbol	Aktion
	Gehen Sie zum vorherigen Haltepunkt
	Simulieren Sie einen vollständigen Lauf des Programms
	Einzelschritt rückwärts (RIP - eine Anweisung)
	Verwalten Sie die Zeitleiste interessanter Ereignisse (Threads erstellt/beendet, Modul geladen/entladen, Ausnahmen, benutzerdefiniert)
	Verwalten Sie die derzeit verfolgten Funktionen
	Spurenereignisse anzeigen

Seit Version 1.1.0 unterstützt TTDDBG eine neue Funktion, die wir als "Funktionsverfolgung" nennen. In der Debugging-Ansicht ist es möglich, Funktionen für die Verfolgung zu markieren, indem Sie mit der rechten Maustaste in den Funktionen oder Modulschnittstellen klicken. Sobald eine Funktion nachverfolgt ist, wird jeder Aufruf dieser Funktion und jede return im neuen Fenster "New Trace Events" aufgezeichnet.

Unter Verwendung der Funktionsinformationen aus Ihren Reverse Engineering -Arbeiten extrahiert TTDBG auch die an die Funktion übergebenen Parameter sowie ihren Rückgabewert. Symbole sind automatisch ziemlich gedruckt, basierend auf den Informationen, die der IDA zur Verfügung stehen, wie z. B. Enum-Werte.

• Mit IDA Pro 8.2 und diesem Plugin führt bei der Eingabe des Debuggers zu einem Absturz. Dieses Problem scheint durch eine Inkompatibilität zwischen diesem Plugin und dem picture_search -Plugin verursacht zu werden, das in IDA 8 neu ist. Entfernen picture_search.dll und picture_search64.dll aus dem plugins -Ordner fixiert dieses Problem vorübergehend. Das Problem wurde auf Hexenstrahlen aufgeworfen.

Voraussetzungen:

• Eine Kopie der IDA SDK (verfügbar im Download -Zentrum mit Ihren IDA Pro -Anmeldeinformationen)
• Eine Kopie von TTDReplay.dll (normalerweise in C:Program FilesWindowsApps[WinDBG folder]amd64ttd )
• Eine Kopie von TTDReplayCPU.dll (normalerweise in C:Program FilesWindowsApps[WinDBG folder]amd64ttd )

Und lassen Sie Cmake seine Magie machen!

$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release 

So erstellen Sie eine Entwicklerlösung:

$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ON

Begrüßen Sie für seine Arbeit an TTD-Bindungen zu Proviant!