tiny_tracer
2.9
Alat pin untuk melacak:
Menghindari beberapa teknik anti-debug dan anti-VM yang diketahui
Menghasilkan laporan dalam format .tag (yang dapat dimuat ke alat analisis lainnya):
RVA;traced eventyaitu
345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
... Untuk mengkompilasi proyek yang disiapkan, Anda perlu menggunakan Visual Studio> = 2012. Ini diuji dengan Intel Pin 3.31.
Klone repo ini ke sourcetools yang ada di dalam direktori pin root Anda. Buka proyek di Visual Studio dan Build. Deskripsi terperinci tersedia di sini.
Untuk membangun dengan Intel Pin <3,26 di Windows, gunakan proyek Legacy Visual Studio yang sesuai.
Untuk saat ini dukungan untuk Linux adalah eksperimental. Namun dimungkinkan untuk membangun dan menggunakan pelacak kecil di Linux juga. Silakan merujuk tiny_runner.sh untuk informasi lebih lanjut. Deskripsi terperinci tersedia di sini.
Detail tentang penggunaan yang akan Anda temukan di wiki proyek.
Untuk generasi otomatis params.txt untuk penelusuran argumen API, cobalah IAT-Tracer oleh Yoavlevi
install32_64 Anda dapat menemukan utilitas yang memeriksa apakah debugger kernel dinonaktifkan ( kdb_check.exe , sumber), dan digunakan oleh skrip .bat pelacak kecil. Kegunaan ini kadang -kadang ditandai sebagai malware oleh windows bek (ini adalah false positif yang diketahui). Jika Anda mengalami masalah ini, Anda mungkin perlu mengecualikan direktori instalasi dari pemindaian Windows Defender.? Pertanyaan? Ide? Bergabunglah dengan diskusi!
