tiny_tracer
2.9
Инструмент для отслеживания:
Уклоняется от некоторых из известных методов анти-дебуга и анти-VM
Генерирует отчет в формате .tag (который может быть загружен в другие инструменты анализа):
RVA;traced eventт.е.
345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
... Для составления подготовленного проекта вам необходимо использовать Visual Studio> = 2012. Он был протестирован с помощью PIN 3,31 Intel 3.31.
Клонировать это репо в sourcetools , которые находятся в вашем каталоге PIN -root. Откройте проект в Visual Studio и Build. Подробное описание доступно здесь.
Чтобы построить с помощью PIN -кода <3.26 в Windows, используйте соответствующий проект Legacy Visual Studio.
На данный момент поддержка Linux является экспериментальной. Тем не менее, можно построить и использовать крошечный индикатор на Linux. Пожалуйста, обратитесь к Tiny_runner.sh для получения дополнительной информации. Подробное описание доступно здесь.
Подробная информация об использовании, которые вы найдете в вики проекта.
Для автоматической генерации params.txt для прослеживания аргументов API попробуйте iat-tracer от yoavlevi
install32_64 вы можете найти утилиту, которая проверяет, отключен ли отладчик ядра ( kdb_check.exe , источник), и он используется крошечными сценариями .bat . Этот утилит иногда помечается как вредоносное ПО защитником Windows (это известный ложный положительный). Если вы столкнетесь с этой проблемой, вам может потребоваться исключить каталог установки из сканирования Defender Windows.? Вопросы? Идеи? Присоединяйтесь к дискуссиям!
