tenet

Tenet ist ein IDA Pro -Plugin zum Erkunden von Ausführungsspuren. Das Ziel dieses Plugins ist es, natürlichere, menschliche Steuerelemente für die Navigation von Ausführungsspuren gegen eine bestimmte Binärdatei bereitzustellen. Die Grundlage dieser Arbeit beruht auf dem Wunsch, neue oder innovative Methoden zur Untersuchung und Destillation komplexer Ausführungsmuster in der Software zu untersuchen und zu destillieren.

Weitere Kontext zu diesem Projekt finden Sie im Blogpost über die erste Veröffentlichung.

Besonderer Dank geht an Qira / Geohot et al. für die Inspiration.

• V0.2 - ImageBase -Detektion, Zellvisualisierung, Breakpoint -Refaktor, Bugfixes.
• V0.1 - Erste Veröffentlichung

Der Grundsatz ist ein plattformübergreifendes (Windows, MacOS, Linux) Python 3-Plugin. Es ist keine Abhängigkeiten von Drittanbietern, so dass der Code sowohl tragbar als auch einfach zu installieren ist.

1. Führen Sie aus der Python -Konsole Ihres Disassemblers den folgenden Befehl aus, um das Plugin -Verzeichnis zu finden:

   • IDA Pro : import idaapi, os; os.path.join(idaapi.get_user_idadir(), "plugins")

2. Kopieren Sie den Inhalt des Repositorys /plugins/ Ordners in das gelistete Verzeichnis.

3. Starten Sie Ihren Disassembler neu.

Dieses Plugin wird nur für IDA 7.5 und neuer unterstützt.

Sobald sie ordnungsgemäß installiert sind, gibt es im Disassembler einen neuen Menüeintrag. Dies kann verwendet werden, um extern gesammelte Ausführungsspuren in den Grundsatz zu laden.

Da dies die erste Veröffentlichung ist, akzeptiert Tenet nur einfache menschenlesbare Textspuren. Weitere Informationen zum Trace -Format, den Einschränkungen und Referenz -Tracern finden Sie im Tracing -Format, die Einschränkungen und Referenz -Tracer im Tracing -Format, die Verfolgung.

Während der Verwendung von Tenet wird das Plugin Trails "malen", um den Ausführungsablauf (blau) und rückwärts (rot) von Ihrer gegenwärtigen Position in der aktiven Ausführungsspur von Ihrer gegenwärtigen Position anzuzeigen.

Um durch die Zeit nach vorne oder rückwärts step , scrollen Sie einfach, während Sie über die Zeitachse auf der rechten Seite des Disassemblers schweben . Um die Funktionsaufrufe zu step over , halten Sie SHIFT beim Scrollen gedrückt.

Die Spurenzeitleiste wird auf der rechten Seite des Disassemblers angedockt. Dieses Widget wird verwendet, um verschiedene Arten von Ereignissen entlang der Timeline der Trace zu visualisieren und die grundlegende Navigation wie oben beschrieben durchzuführen.

Durch Klicken und Ziehen über die Zeitachse ist es möglich, in einem bestimmten Abschnitt der Ausführungsspur zu zoomen. Diese Aktion kann jederzeit wiederholt werden, um die gewünschte Granularität zu erreichen.

Doppelklicken Sie auf den Anweisungszeiger im Registers -Fenster, das ihn rot hervorhebt und alle Orte enthüllt, die die Anweisung über die Spurenzeitleiste ausgeführt wurde.

Um zwischen den Ausführungen zu springen, scrollen Sie nach oben oder unten und schweben Sie den hervorgehobenen Befehlszeiger .

Darüber hinaus können Sie mit der rechten Maustaste in die Auflistung der Demontage klicken und eines der navigationsbasierten Menüeinträge auswählen, um schnell die Ausführung einer Interessenanweisung zu suchen.

Der native F2 -Hotkey von IDA kann auch verwendet werden, um Haltepunkte auf willkürlichen Anweisungen festzulegen.

Durch das Doppelklicken auf ein Byte im Stapel- oder Speicheransichten sehen Sie sofort alle Lesevorgänge/Schreibvorgänge dieser Adresse, die über die Zeitleiste der Spuren visualisiert wurde. Gelb zeigt eine Speicherlesen an , blau zeigt ein Speicherschreiben an .

Memory Breakpoints können mit der gleichen Technik navigiert werden, die für Ausführungsbestandteile beschrieben wird. Doppelklicken Sie auf ein Byte und scrollen Sie, während Sie das ausgewählte Byte schweben, um die Spur zu jedem seiner Zugriffe zu suchen.

Klicken Sie mit der rechten Maustaste auf ein Interessens -Byte können Sie Optionen zwischen Speicherlesen / Schreib- / Zugriff suchen, wenn eine spezifische Navigationsaktion vorhanden ist.

Klicken Sie auf die Speicheransicht und klicken Sie auf G , um entweder eine Adresse oder ein Datenbanksymbol einzugeben, um die Ansicht zu suchen.

Es ist möglich, einen Speicherbestandteil in einem Speicherbereich festzulegen, indem ein Speicherblock hervorgeht und doppelt darauf klickt, um einen Zugriffsbestandteil festzustellen.

Wie bei normalen Speicherbestandspunkten kann das Umschwung des Bereichs und das Scrollen verwendet werden, um zwischen den auf den ausgewählten Speicherregion hergestellten Zugriffe zu durchqueren.

In Reverse Engineering ist es ziemlich üblich, Situationen zu begegnen, in denen Sie sich fragen : "Welches Anweisungsanweis ist dieses Register für seinen aktuellen Wert festgelegt?"

Mit dem Grundsatz können Sie in einem einzigen Klick nach rückwärts zu dieser Anweisung suchen.

Nach rückwärts sucht ist bei weitem die häufigste Richtung, um über Registeränderungen zu navigieren. Für die Geschicklichkeit können Sie jedoch auch die nächste Registerzuordnung mit dem blauen Pfeil rechts neben dem Register einholen.

Eine einfache "Shell" wird bereitgestellt, um zu bestimmten Zeitstempeln in der Spur zu navigieren. Das Einfügen (oder tippen ...) einen Zeitstempel in die Schale mit oder ohne Kommas reicht aus.

Mit einem Ausrufezeichen können Sie auch einen bestimmten "Prozentsatz" in die Spur einholen. Eintritt !100 wird nach dem endgültigen Anweis in der Spur suchen, wo !50 etwa 50% des Weges durch die Spur suchen. !last wird nach dem letzten navigierbaren Anweisungen suchen, der im Disassembler betrachtet werden kann.

Tenet wird mit zwei Standardthemen geliefert - ein "helles" Thema und ein "dunkler". Abhängig von den Farben, die derzeit von Ihrem Disassembler verwendet werden, versucht Tenet, das Thema auszuwählen, das am besten geeignet erscheint.

Die Themendateien werden als einfaches JSON auf der Festplatte gespeichert und sind sehr konfigurierbar. Wenn Sie mit den Standardthemen oder Farben nicht zufrieden sind, können Sie Ihre eigenen Themen erstellen und sie einfach im Benutzer -Thema -Verzeichnis fallen lassen.

Tenet erinnert sich an Ihre Themenpräferenz für zukünftige Lasten und Verwendungen.

• A: Tenet ist ein Spurenleser, kein Spurenrekorder. Sie müssen dynamische Binärinstrumentierungsrahmen (oder andere verwandte Technologien) verwenden, um eine kompatible Ausführungsspur zu generieren. Weitere Informationen zu vorhandenen Tracern oder zur Implementierung Ihrer eigenen finden Sie im Tracing Readme.

• A: Nur X86 und AMD64, aber die Codebasis ist fast ausschließlich Architektur agnostisch.

• A: Der Trace -Leser des Tenets ist reines Python, es wurde als MVP geschrieben. Es gibt keine Garantie dafür, dass Spuren, die 10 Millionen Anweisungen überschreiten, angemessen sind, bis ein nationales Backend ersetzt wird.

• A: Wenn Tenet eine bestimmte Textverfolgung lädt, wird die Spur in ein Performantformat analysiert, index und komprimiert. Bei nachfolgenden Lasten versucht der Grundsatz, die ".tt" -Datei zu laden, die in der Zeit geladen werden soll, in der es dauern würde, dass die ursprüngliche Textverfolgung geladen wird.

• A: Wenn Sie auf ein Problem oder eine Ungenauigkeit stoßen, die reproduziert werden kann, stellen Sie bitte ein Problem gegen dieses Repository ein und laden Sie eine Beispielverfolgung + ausführbare Datei hoch.

• A: Ihre Protokolldatei hat möglicherweise nicht alle Speicherschreibvorgänge erfasst. Beispielsweise erhalten UsMode DBI im Allgemeinen keinen Speicherruf für externe Schreibvorgänge, um den Speicher zu verarbeiten. Dies ist am häufigsten beim Lesen einer Datei oder aus Socket - es ist der Kernel, der den Speicher in Ihren festgelegten Usmode -Puffer schreibt und das Ereignis für herkömmliche Instrumente unsichtbar macht.
  • Microsoft TTD weist im Allgemeinen das gleiche Verhalten auf, es ist schwierig zu lösen, ohne dass die Systeme modelliert werden.

• A: Möglicherweise, aber nicht so bald (es sei denn, es gibt einen erheblichen Anreiz). Als forschungsorientiertes Projekt besteht die treibende Motivation darin, neuartige Strategien zur Organisation und Erforschung der Programmausführung zu entwickeln - sie nicht zu portieren.

• A: Ohne Finanzierung ist die Zeit, die ich diesem Projekt widmen kann, begrenzt. Wenn Ihre Organisation von den hier vorgelegten Ideen begeistert ist und in der Lage ist, den speziellen Forschungs- und Entwicklungsarbeiten Kapital zu bieten, kontaktieren Sie uns bitte.

Zeit und Motivation Die zulässige Finanzierung, zukünftige Arbeiten können umfassen:

• Filter- / Gerinnungsbibliotheksanrufe aus Spuren
• Zeigeranalyse (z. B. Anmerkungen) für die Register- / Stapelansichten
• Native TraceFile & Tracereader -Implementierungen (z. B. größere und schnellere Spuren)
• Navigationsgeschichte + Lesezeichen anzeigen (vielleicht 2-in-1?)
• Reichere Trace -Informatik, aggressivere Indexierung relevanter Ereignisse (z. B. Funktionsaufrufe)
• Spurenkartographie, verbesserte Zusammenfassung und Darstellung der Spurengeographie
• Machen Sie die Auswahl/Erkennung der CPU -Architektur etwas weniger festcodiert
• Weitere Out-of-the-Box-Tracing Bridges, Dynamorio, TTD, RR, Qemu, Bochs, ...
• Unterstützung für Hex-Strahlen / dekompilierte Ansichten (neben der grundlegenden Synchronisierung)
• Verbesserter Workflow zum automatischen Laden oder Iterieren auf Spuren
• Differentialanalyse, hoher Niveau 'Spurendifferenz'
• Bessere Navigation und Aufschlüsselung von Threads, Quantum's
• Bessere Unterstützung für das Navigieren von "Multi -Modul" -Argationen (z. B. Full -System -Spuren)
• Binär -Ninja -Unterstützung
• ...?

Ich begrüße externe Beiträge, Probleme und Feature -Anfragen. Bitte stellen Sie an der develop dieses Repositorys Anfragen an, wenn Sie möchten, dass sie für eine zukünftige Veröffentlichung in Betracht gezogen werden.

• Markus gaasedelen (@gaasedelen)