ttddbg

️ Внимание пользователей IDA 8: Использование TTDDBG с IDA 8 требует на данный момент обходной

Этот плагин добавляет нового отладчика в IDA, который поддерживает загрузку трассов отладки от отладки во времени, генерируемых с использованием предварительного просмотра WindBG.

Этот плагин поддерживает трассировки как x86, так и x64, а также расширение IDA и IDA64.

Установка плагина может быть выполнена с помощью установщика со страницы релизов. Установщик автоматически установит необходимые зависимости, при условии, что у вас установлена ​​копия WindBG Preview.

После установки вы можете использовать плагин, выбрав отладчик ttddbg в интерфейсе IDA и указав ваш файл *.run в качестве «приложения». Для получения помощи при генерации файла .run см. HOWTO_TIME_TRAVEL.md .

Икона	Действие
	Перейти к предыдущей точке перерыва
	Имитировать полный пробег программы
	Одиночный шаг назад (RIP - одна инструкция)
	Управление временной шкалой интересных событий (созданные/завершенные потоки, загруженные/разгруженные модуль, исключения, пользовательские)
	Управлять в настоящее время отслеживаемыми функциями
	Просмотреть трассировки

С момента версии 1.1.0, TTDDBG поддерживает новую функцию, которую мы называем «трассировкой функции». В то время как в представлении отладки можно отметить функции для отслеживания, щелкнув правой кнопкой мыши их по функциям или интерфейсам модуля . Как только функция отслеживается, любой вызов этой функции и любой оператор return будет записан в окне «Новые события трассировки» .

Используя информацию о функции из вашей обратной инженерной работы, TTDDBG также извлекает параметры, передаваемые функции, а также его возвратное значение. Символы автоматически напечатаны на основе информации, доступной для IDA, такой как значения Enum.

• Использование IDA Pro 8.2 и этот плагин приводит к сбою при входе в отладчик. Эта проблема, по -видимому, вызвана несовместимостью между этим плагином и плагином picture_search , который является новым в IDA 8. Удаление picture_search.dll и picture_search64.dll из папки plugins временно исправляет эту проблему. Проблема была поднята в гекс-чертах.

Предварительные условия:

• Копия IDA SDK (доступна в центре загрузки с использованием ваших учетных данных IDA Pro)
• Копия TTDReplay.dll (обычно в C:Program FilesWindowsApps[WinDBG folder]amd64ttd )
• Копия TTDReplayCPU.dll (обычно в C:Program FilesWindowsApps[WinDBG folder]amd64ttd )

И пусть Cmake сделает свое волшебство!

$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release 

Чтобы создать решение разработчика:

$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ON

Greetz to Commily для его работы над Bindings!