tiny_tracer

Ein Pin -Werkzeug zur Verfolgung:

• API -Aufrufe, einschließlich Parameter ausgewählter Funktionen
• Ausgewählte Anweisungen: RDTSC, CPUID, int
• Inline -Systemaufrufe, einschließlich Parametern ausgewählter Syscalls
• Übergang zwischen Abschnitten des verfolgten Moduls (hilfreich bei der Suche nach OEP des verpackten Moduls)
• Ausführte Anweisungen in definierten Codefragmenten

Ausweichen einige der bekannten Anti-Debug- und Anti-VM-Techniken

Generiert einen Bericht in einem .tag -Format (das in andere Analysetools geladen werden kann):

RVA;traced event

dh

345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
...

Um das vorbereitete Projekt zu kompilieren, müssen Sie Visual Studio> = 2012 verwenden. Es wurde mit Intel Pin 3.31 getestet.
Klonen Sie dieses Repo in sourcetools die sich in Ihrem Pin -Root -Verzeichnis befinden. Öffnen Sie das Projekt in Visual Studio und Build. Detaillierte Beschreibung hier verfügbar.
Verwenden Sie zum Erstellen mit Intel Pin <3.26 unter Windows das entsprechende Legacy Visual Studio -Projekt.

Im Moment ist die Unterstützung für Linux experimentell. Es ist jedoch möglich, auch winzige Tracer unter Linux zu bauen und zu verwenden. Weitere Informationen finden Sie unter tiny_runner.sh. Detaillierte Beschreibung hier verfügbar.

Details über die Nutzung, die Sie im Wiki des Projekts finden.

Für die automatische Erzeugung von params.txt für die API-Argumente, versuchen Sie es mit IAT-Tracer von Yoavlevi

• Damit PIN richtig funktioniert, muss das Kernel -Debugging deaktiviert sein.
• In install32_64 finden Sie ein Dienstprogramm, das überprüft, ob Kernel -Debugger deaktiviert ist ( kdb_check.exe , Quelle), und es wird von den .bat -Skripten des winzigen Tracers verwendet. Diese Utilty wird manchmal von Windows Defender als Malware als Malware gekennzeichnet (es ist ein bekanntes falsches Positiv). Wenn Sie auf dieses Problem stoßen, müssen Sie möglicherweise das Installationsverzeichnis von Windows Defender Scans ausschließen.
• Seit der Version 3.20 hat Pin eine Unterstützung für alte Windows -Versionen gesenkt. Wenn Sie das Tool unter Windows <8 verwenden müssen, versuchen Sie es mit Pin 3.19 zu kompilieren.

? Fragen? Ideen? Diskutionen beinehmen!