ttddbg
SSTIC 2023 Release
このプラグインは、WindBGプレビューを使用して生成されたタイムトラベルデバッグトレースの読み込みをサポートするIDAに新しいデバッガーを追加します。
このプラグインは、X86とX64の両方のトレース、およびさらにIDAとIDA64の両方をサポートします。
プラグインのインストールは、リリースページのインストーラーを使用して実行できます。インストーラーは、WindBGプレビューのコピーがインストールされている場合、必要な依存関係を自動的にインストールします。
インストールしたら、IDAインターフェイスでttddbgデバッガーを選択し、 *.runファイルを「アプリケーション」として指定することにより、プラグインを使用できます。 .runファイルの生成に関するヘルプについては、 HOWTO_TIME_TRAVEL.md参照してください。
| アイコン | アクション |
|---|---|
 | 前のブレークポイントに移動します |
 | プログラムの完全な実行をシミュレートします |
 | シングルステップバックワード(RIP-1つの命令) |
 | 興味深いイベントのタイムライン(作成/終了、モジュールのロード/ロードされたスレッド、例外、カスタム)を管理する |
 | 現在トレースされている機能を管理します |
 | トレースイベントを表示します |
バージョン1.1.0以降、TTDDBGは「関数トレース」と呼ばれる新しい機能をサポートしています。デバッグビューでは、関数またはモジュールインターフェイスでそれらを右クリックして、トレースの関数をマークすることができます。関数がトレースされると、この関数への呼び出し、および任意のreturnステートメントが新しいTraceイベントウィンドウに記録されます。
リバースエンジニアリング作業の関数情報を使用して、TTDDBGは、関数に渡されたパラメーターとその返品値も抽出します。シンボルは、ENUM値などのIDAが利用できる情報に基づいて、自動的にきれいに印刷されています。
picture_searchプラグインの間の非互換性が原因であるように思われます。これはIDA 8に新しくなります。 pluginsフォルダーからpicture_search.dllとpicture_search64.dll削除がこの問題を一時的に修正します。問題はヘックスレイに提起されました。 前提条件:
TTDReplay.dllのコピー(通常はC:Program FilesWindowsApps[WinDBG folder]amd64ttd )TTDReplayCPU.dllのコピー(通常はC:Program FilesWindowsApps[WinDBG folder]amd64ttd )そして、cmakeにその魔法をかけさせてください!
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release 開発ソリューションを作成するには:
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ONTTDバインディングでの彼の仕事にコミカルになるようにGreetz!
