tiny_tracer

トレース用のピンツール：

• 選択した関数のパラメーターを含むAPI呼び出し
• 選択した手順：RDTSC、CPUID、INT
• 選択したsyscallのパラメーターを含むインラインシステム呼び出し
• トレースモジュールのセクション間の遷移（詰め込まれたモジュールのOEPを見つけるのに役立ちます）
• 定義されたコードフラグメントで命令を実行しました

既知の抗bugおよび抗VM技術の一部を回避します

.tag形式でレポートを生成します（他の分析ツールにロードできます）：

RVA;traced event

すなわち

345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
...

準備されたプロジェクトをコンパイルするには、Visual Studio> = 2012を使用する必要があります。IntelPin3.31でテストされました。
このリポジトリは、ピンルートディレクトリ内にあるsourcetoolsにクローンします。 Visual Studioでプロジェクトを開き、ビルドします。詳細な説明はこちらから入手できます。
WindowsでIntel Pin <3.26で構築するには、適切なレガシービジュアルスタジオプロジェクトを使用します。

今のところ、Linuxのサポートは実験的です。しかし、Linuxでも小さなトレーサーを構築および使用することも可能です。詳細については、tiny_runner.shを参照してください。詳細な説明はこちらから入手できます。

プロジェクトのWikiにある使用法の詳細。

API引数のトレース用のparams.txtの自動生成については、YoavleviによるIAT-Tracerをお試しください

• PINが正しく機能するためには、カーネルのデバッグを無効にする必要があります。
• install32_64では、カーネルデバッガーが無効になっているかどうかをチェックするユーティリティ（ kdb_check.exe 、source）を見つけることができ、小さなトレーサーの.batスクリプトで使用されます。この競技は、Windows Defenderによってマルウェアとしてフラグを立てることがあります（既知の偽陽性です）。この問題が発生した場合は、Windows Defenderスキャンからインストールディレクトリを除外する必要がある場合があります。
• バージョン3.20ピンは、古いバージョンのWindowsのサポートをドロップしたためです。 Windows <8でツールを使用する必要がある場合は、ピン3.19でコンパイルしてみてください。

？質問？アイデア？議論に参加してください！