tiny_tracer
2.9
Uma ferramenta de pino para rastreamento:
Evade algumas das técnicas conhecidas anti-debug e anti-VM
Gera um relatório em um formato .tag (que pode ser carregado em outras ferramentas de análise):
RVA;traced eventou seja
345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
... Para compilar o projeto preparado, você precisa usar o Visual Studio> = 2012. Foi testado com o Intel Pin 3.31.
Clone este repositório em sourcetools que está dentro do diretório raiz do seu pino. Abra o projeto no Visual Studio e construa. Descrição detalhada disponível aqui.
Para construir com o PIN Intel <3,26 no Windows, use o projeto Legacy Visual Studio apropriado.
Por enquanto, o suporte ao Linux é experimental. No entanto, é possível construir e usar o pequeno traçador no Linux também. Consulte o tiny_runner.sh para obter mais informações. Descrição detalhada disponível aqui.
Detalhes sobre o uso que você encontrará no wiki do projeto.
Para geração automática de params.txt para argumentos de API rastreando, tente IAT-Tracer por Yoavlevi
install32_64 você pode encontrar um utilitário que verifique se o depurador do kernel está desativado ( kdb_check.exe , fonte) e é usado pelos pequenos scripts .bat do traçador. Às vezes, essa utilização é sinalizada como malware pelo Windows Defender (é um falso positivo conhecido). Se você encontrar esse problema, pode ser necessário excluir o diretório de instalação do Windows Defender Scanns.? Questões? Ideias? Junte -se às discussões!
