tiny_tracer

Un outil PIN pour le traçage:

• Appels API, y compris les paramètres des fonctions sélectionnées
• Instructions sélectionnées: RDTSC, CPUID, int
• Appels système en ligne, y compris les paramètres des systèmes sélectionnés
• transition entre les sections du module tracé (utile pour trouver l'OEP du module emballé)
• Instructions exécutées dans les fragments de code définis

Échappe certaines des techniques connues anti-débuggs et anti-VM

Génère un rapport au format .tag (qui peut être chargé dans d'autres outils d'analyse):

RVA;traced event

c'est-à-dire

345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
...

Pour compiler le projet préparé, vous devez utiliser Visual Studio> = 2012. Il a été testé avec Intel PIN 3.31.
Clone ce repo dans sourcetools qui se trouve à l'intérieur de votre répertoire racine de Pin. Ouvrez le projet dans Visual Studio et Build. Description détaillée disponible ici.
Pour construire avec Intel PIN <3,26 sur Windows, utilisez le projet Visual Studio Legacy Visual Studio approprié.

Pour l'instant, le support de Linux est expérimental. Pourtant, il est également possible de construire et d'utiliser de minuscules traceurs sur Linux. Veuillez référer Tiny_Runner.sh pour plus d'informations. Description détaillée disponible ici.

Détails sur l'utilisation que vous trouverez sur le wiki du projet.

Pour la génération automatique de params.txt pour le traçage des arguments de l'API, essayez iat-tracer par yoavlevi

• Pour que PIN fonctionne correctement, le débogage du noyau doit être désactivé .
• Dans install32_64 vous pouvez trouver un utilitaire qui vérifie si le débogueur du noyau est désactivé ( kdb_check.exe , source), et il est utilisé par les scripts .bat du minuscule traceur. Cette utilisation est parfois signalée comme un logiciel malveillant par Windows Defender (c'est un faux positif connu). Si vous rencontrez ce problème, vous devrez peut-être exclure le répertoire d'installation des analyses de défenseur Windows.
• Étant donné que le PIN de la version 3.20 a abandonné une prise en charge des anciennes versions de Windows . Si vous devez utiliser l'outil sur Windows <8, essayez de le compiler avec la broche 3.19.

? Questions? Idées? Rejoignez des discussions!