tiny_tracer
2.9
Una herramienta PIN para rastrear:
Evade algunas de las técnicas anti-debug y anti-VM conocidas
Genera un informe en un formato .tag (que se puede cargar en otras herramientas de análisis):
RVA;traced eventes decir
345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
... Para compilar el proyecto preparado, debe usar Visual Studio> = 2012. Se probó con Intel Pin 3.31.
Clonar este repositorio en sourcetools que está dentro de su directorio de raíz PIN. Abra el proyecto en Visual Studio y Build. Descripción detallada disponible aquí.
Para construir con Pin Intel <3.26 en Windows, use el proyecto Legacy Visual Studio apropiado.
Por ahora el soporte para Linux es experimental. Sin embargo, es posible construir y usar un pequeño trazador en Linux también. Consulte tiny_runner.sh para obtener más información. Descripción detallada disponible aquí.
Detalles sobre el uso que encontrará en el wiki del proyecto.
Para la generación automática de params.txt
install32_64 puede encontrar una utilidad que verifique si el depurador del kernel está deshabilitado ( kdb_check.exe , fuente), y es utilizado por los pequeños scripts .bat . Esta utilidad a veces es marcada como un malware por el defensor de Windows (es un falso positivo conocido). Si se encuentra con este problema, es posible que deba excluir el directorio de instalación de los escaneos de defensa de Windows.? ¿Preguntas? Ideas? ¡Únete a las discusiones!
