tiny_tracer

추적을위한 핀 도구 :

• 선택한 함수의 매개 변수를 포함하여 API 호출
• 선택된 지침 : RDTSC, CPUID, int
• 선택한 SyScall의 매개 변수를 포함한 인라인 시스템 호출
• 추적 모듈의 섹션 간 전환 (포장 된 모듈의 OEP 찾기에 도움이 있음)
• 정의 된 코드 조각에서 실행 된 지침

알려진 안티 베 버그 및 항 -VM 기술 중 일부를 피하십시오

.tag 형식으로 보고서를 생성합니다 (다른 분석 도구에로드 할 수 있음) :

RVA;traced event

즉

345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
...

준비된 프로젝트를 컴파일하려면 Visual Studio> = 2012를 사용해야합니다. Intel Pin 3.31로 테스트되었습니다.
이 repo를 Pin Root 디렉토리 내부에있는 sourcetools 로 클론하십시오. Visual Studio에서 프로젝트를 열고 빌드하십시오. 자세한 설명은 여기에서 사용할 수 있습니다.
Windows에서 Intel Pin <3.26으로 빌드하려면 적절한 레거시 비주얼 스튜디오 프로젝트를 사용하십시오.

현재 Linux에 대한 지원은 실험적입니다. 그러나 Linux에서도 작은 추적기를 구축하고 사용할 수 있습니다. 자세한 내용은 siny_runner.sh를 참조하십시오. 자세한 설명은 여기에서 사용할 수 있습니다.

프로젝트의 위키에서 찾을 수있는 사용에 대한 자세한 내용.

API 인수 추적에 대한 자동 생성 params.txt 의 경우 yoavlevi의 IAT 트래커를 사용해보십시오.

• PIN이 올바르게 작동하려면 커널 디버깅이 비활성화 되어야합니다.
• install32_64 에서 커널 디버거가 비활성화되어 있는지 확인하는 유틸리티 ( kdb_check.exe , source)를 찾을 수 있으며 작은 트레이서의 .bat 스크립트에서 사용됩니다. 이기구는 때때로 Windows Defender에 의해 맬웨어로 표시됩니다 (알려진 거짓 긍정적). 이 문제가 발생하면 Windows Defender 스캔에서 설치 디렉토리를 제외해야 할 수도 있습니다.
• 버전 3.20 핀이 이전 버전의 Windows에 대한 지원을 삭제했습니다. Windows <8에서 도구를 사용해야하는 경우 PIN 3.19로 컴파일하십시오.

? 질문? 아이디어? 토론에 참여하십시오!