ttddbg
SSTIC 2023 Release
Ce plugin ajoute un nouveau débogueur à IDA qui prend en charge le chargement des traces de débogage de voyage dans le temps générées à l'aide de l'aperçu WINDBG.
Ce plugin prend en charge les traces x86 et x64, et par extension IDA et IDA64.
L'installation du plugin peut être effectuée à l'aide du programme d'installation à partir de la page des versions. Le programme d'installation installera automatiquement les dépendances requises, à condition que vous ayez une copie de l'aperçu WINDBG installé.
Une fois installé, vous pouvez utiliser le plugin en sélectionnant le débogueur ttddbg dans l'interface IDA et en spécifiant votre fichier *.run comme "Application". Pour obtenir de l'aide sur la génération d'un fichier .run , consultez HOWTO_TIME_TRAVEL.md .
| Icône | Action |
|---|---|
 | Aller au point d'arrêt précédent |
 | Simuler une série complète du programme |
 | Pas en arrière (RIP - une instruction) |
 | Gérez la chronologie des événements intéressants (threads créés / terminés, module chargé / déchargé, exceptions, personnalisé) |
 | Gérer les fonctions actuellement tracées |
 | Voir les événements traces |
Depuis la version 1.1.0, TTDDBG prend en charge une nouvelle fonctionnalité que nous appelons "Fonction Traçage". Alors que dans la vue de débogage, il est possible de marquer des fonctions de traçage en les cliquant avec le bouton droit dans les fonctions ou les interfaces de module . Une fois qu'une fonction est tracée, tout appel à cette fonction et toute instruction return sera enregistré dans la nouvelle fenêtre d'événements de trace .
En utilisant les informations de fonction de votre travail d'ingénierie inverse, TTDDBG extrait également les paramètres transmis à la fonction ainsi que sa valeur de retour. Les symboles sont automatiquement assez imprimés en fonction des informations disponibles pour IDA, telles que les valeurs d'énumération.
picture_search , qui est nouveau dans IDA 8. La suppression de picture_search.dll et picture_search64.dll du dossier plugins résout temporairement ce problème. Le problème a été soulevé sur les rayons hexades. Prérequis:
TTDReplay.dll (généralement dans C:Program FilesWindowsApps[WinDBG folder]amd64ttd )TTDReplayCPU.dll (généralement dans C:Program FilesWindowsApps[WinDBG folder]amd64ttd )Et laissez Cmake faire sa magie!
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release Pour créer une solution de développement:
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ONGreetz à Comminial pour son travail sur les liures TTD!
