ttddbg
SSTIC 2023 Release
이 플러그인은 IDA에 새 디버거를 추가하여 WINDBG 미리보기를 사용하여 생성 된 로딩 시간 여행 디버깅 추적을 지원합니다.
이 플러그인은 X86 및 X64 트레이스와 Extension IDA 및 IDA64를 모두 지원합니다.
릴리스 페이지에서 설치 프로그램을 사용하여 플러그인을 설치할 수 있습니다. 설치 프로그램은 WindBG 미리보기 사본이 설치된 경우 필요한 종속성을 자동으로 설치합니다.
설치되면 IDA 인터페이스에서 ttddbg 디버거를 선택하고 *.run 파일을 "응용 프로그램"으로 지정하여 플러그인을 사용할 수 있습니다. .run 파일을 생성하는 데 도움이 되려면 HOWTO_TIME_TRAVEL.md 참조하십시오.
| 상 | 행동 |
|---|---|
 | 이전 중단 점으로 이동하십시오 |
 | 프로그램의 전체 실행을 시뮬레이션하십시오 |
 | 단일 단계 뒤로 (RIP- 하나의 명령어) |
 | 흥미로운 이벤트의 타임 라인 관리 (스레드 생성/종료, 모듈로드/언로드, 예외, 사용자 정의) |
 | 현재 추적 된 기능을 관리하십시오 |
 | 추적 이벤트를 봅니다 |
버전 1.1.0이므로 TTDDBG는 "기능 추적"이라고하는 새로운 기능을 지원합니다. 디버깅보기에서는 함수 또는 모듈 인터페이스에서 마우스 오른쪽 버튼을 클릭하여 추적 할 기능을 표시 할 수 있습니다. 함수가 추적되면이 기능에 대한 모든 호출 및 return 명령문은 새로운 트레이스 이벤트 창에 기록됩니다.
TTDDBG는 리버스 엔지니어링 작업의 기능 정보를 사용하여 기능에 전달 된 매개 변수와 리턴 값을 추출합니다. 기호는 열거 값과 같은 IDA에 사용 가능한 정보를 기반으로 자동으로 인쇄됩니다.
picture_search 플러그인 사이의 비 호환성으로 인한 것으로 보이며, IDA 8의 새로운 것입니다. plugins 폴더에서 picture_search.dll 및 picture_search64.dll 제거는이 문제를 일시적으로 수정합니다. 문제는 16 진전으로 올라갔습니다. 전제 조건 :
TTDReplay.dll 의 사본 (일반적으로 C:Program FilesWindowsApps[WinDBG folder]amd64ttd ).TTDReplayCPU.dll 의 사본 (일반적으로 C:Program FilesWindowsApps[WinDBG folder]amd64ttd ).그리고 Cmake가 마법을하게하십시오!
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release 개발 솔루션을 만들려면 :
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ONTTD 바인딩에 대한 그의 작업에 대한 Commial에 Greetz!
