tenet

Tenet - это плагин IDA Pro для изучения трассов выполнения. Цель этого плагина - обеспечить более естественные человеческие элементы управления для навигации по следам выполнения против данного двоичного файла. Основа этой работы связана с желанием исследовать новые или инновационные методы для изучения и дистиллы сложных моделей выполнения в программном обеспечении.

Для получения дополнительного контекста об этом проекте, пожалуйста, прочитайте блог о его первоначальном выпуске.

Особая благодарность Qira / Geohot et al. для вдохновения.

• V0.2 - обнаружение ImageBase, визуализация ячейки, рефактор точки останова, ошибки.
• v0.1 - первоначальный выпуск

Tenet-это кроссплатформенный (Windows, Macos, Linux) плагин Python 3. Это требует нулевых сторонних зависимостей, что делает код как портативным, так и простым в установке.

1. Из консоли Python вашего Disesssembler запустите следующую команду, чтобы найти свой каталог плагинов:

   • IDA Pro : import idaapi, os; os.path.join(idaapi.get_user_idadir(), "plugins")

2. Скопируйте содержимое /plugins/ плагины репозитория в список.

3. Перезагрузите свой разборщик.

Этот плагин поддерживается только для IDA 7.5 и новее.

После правильного установки в Disassssssembler будет доступна новая запись меню. Это может быть использовано для загрузки извне составленных трассов выполнения в принцип.

Поскольку это первоначальный выпуск, Тенет принимает только простые человеческие текстовые следы. Пожалуйста, обратитесь к Tracing Readme в этом репозитории для получения дополнительной информации о формате трассировки, ограничениях и эталонных трассерах.

Используя Tenet, плагин будет «рисовать» следы, чтобы указать поток выполнения вперед (синий) и назад (красный) из вашей нынешней позиции в трассировке активного выполнения.

Чтобы step вперед или назад во времени, вы просто прокручиваете, падая через временную шкалу на правой стороне разборщика. Чтобы step over вызовы функций, удерживайте SHIFT во время прокрутки.

Сроки следов будут пришвартованы на правой стороне разборка. Этот виджет используется для визуализации различных типов событий вдоль временной шкалы трассировки и выполнения базовой навигации, как описано выше.

Нажав и перетаскивая по временной шкале , можно увеличить масштаб на определенном разделе трассировки выполнения. Это действие может повторить любое количество раз, чтобы достичь желаемой гранулярности.

Двойное щелчок по указателю инструкции в окне регистров выделяет его красным, показывая все места, которые инструкция была выполнена через временную шкалу трассировки.

Чтобы прыгать между казнями, прокрутите или вниз, парят указатель выделенного инструкции .

Кроме того, вы можете щелкнуть правой кнопкой мыши в списке разборки и выбрать одну из записей на основе навигации, чтобы быстро обратиться к выполнению интересующей инструкции.

Нативная Hotkey F2 также может использоваться для установки точек останова на произвольных инструкциях.

Дважды щелкнув байт в представлениях стека или памяти, вы сразу же увидите все чтения/записи по этому адресу, визуализируемому по временной шкале трассировки. Желтый указывает на чтение памяти, синий указывает на запись памяти.

Точки останова памяти могут перемещаться с использованием той же методики, описанной для точек выполнения. Дважды щелкните байт и прокрутите, парят выбранную байт , чтобы искать трассировку для каждого из его доступа.

Кношение правой кнопкой мыши, представляющий интерес, даст вам варианты для поиска между памятью / записи / доступа, если есть конкретное навигационное действие, которое вы имеете в виду.

Чтобы перейти по представлению памяти к произвольному адресу, нажмите на представление памяти и нажмите G , чтобы ввести адрес адрес или символ базы данных, чтобы найти представление.

Можно установить точку разрыва памяти через область памяти, выделяя блок памяти и дважды щелкнув ее, чтобы установить точку останова доступа.

Как и в случае с нормальными точками разрыва памяти, зависание области и прокрутка может использоваться для прохождения между доступами, сделанными в выбранную область памяти.

В обратной инженерии довольно часто встречаются ситуации, когда вы спрашиваете себя : «Какие инструкции установили этот регистр на его текущее значение?»

Используя Tenet, вы можете обратиться к этой инструкции за один щелчок.

Поиск задом на сегодняшний день является наиболее распространенным направлением для перемещения по изменениям регистра ... но для ловкости вы также можете обратиться к следующему назначению регистрации, используя синюю стрелку справа от регистра.

Простая «оболочка» предназначена для перемещения к конкретным временным меткам в следе. Вставка (или набрать ...) Нехватка времени в оболочке с запятыми или без запятых будет достаточно.

Используя восклицательный знак, вы также можете искать указанный «процент» в след. Вход !100 будет стремиться к окончательной инструкции в следе, где !50 будет искать приблизительно 50% пути через след. !last будет стремиться к последней судоходной инструкции, которую можно просмотреть в Disassssembler.

Тенет отправляется с двумя темами по умолчанию - «легкой» темой и «темной». В зависимости от цветов, которые в настоящее время используются вашим диспсассемблером, Тенет попытается выбрать тему, которая кажется наиболее подходящей.

Файлы темы хранятся как простые JSON на диске и очень настраиваются. Если вы не довольны темами или цветами по умолчанию, вы можете создать свои собственные темы и просто бросить их в каталог пользовательских тем.

Tenet запомнит вашу теме предпочтение для будущих нагрузок и использования.

• A: Tenet - это следование, а не рекордер. Вам придется использовать динамические бинарные фреймворки (или другие связанные технологии) для создания совместимого следа выполнения. Пожалуйста, обратитесь к Tracing Readme для получения дополнительной информации о существующих трассерах или о том, как реализовать свои собственные.

• A: Только X86 и AMD64, но кодовая база почти полностью архитектура.

• A: Thenet's Trace Reader - Pure Python, он был написан как MVP. Нет никакой гарантии, что следы, которые превышают 10 миллионов инструкций, будут разумными для навигации, пока родной бэкэнд не заменит его.

• A: Когда принцип загружает данную текстовую трассу, он будет анализировать, индекс и сжимать трассировку в более производительный формат. При последующих нагрузках Тенет попытается загрузить файл «.tt», который должен загружаться в течение доли времени, которое потребуется, чтобы загрузить исходную текстовую трассу.

• A: Если вы столкнетесь с проблемой или неточности, которые можно воспроизвести, подайте проблему против этого репозитория и загрузите образец трассировки + исполняемый файл.

• A: Ваш файл журнала, возможно, не захватил все записи памяти. Например, USERMODE DBI, как правило, не получает обратный вызов памяти для внешних записей для обработки памяти. Это наиболее распространено при чтении из файла или из сокета - это ядро, которое записывает память в ваш назначенный буфер USERMODE, что делает событие невидимым для традиционных инструментов.
  • Microsoft TTD обычно демонстрирует одно и то же поведение, сложно решить без моделирования Syscalls.

• A: Возможно, но не в ближайшее время (если нет значительного стимула). В качестве исследования, ориентированного на исследование, мотивация вождения заключается в разработке новых стратегий для организации и изучения выполнения программ, а не переносить их.

• A: Без финансирования время, которое я могу посвятить этому проекту, ограничено. Если ваша организация взволнована идеями, выдвинутыми здесь и способными предоставить капитал спонсировать выделенные исследования и разработки, пожалуйста, свяжитесь с нами.

Время и мотивация Разрешение на финансирование, будущая работа может включать в себя:

• Фильтрация / коагулирование библиотечных вызовов с трассов
• Анализ указателей (например, аннотации) для просмотров регистра / стека
• Нативные реализации Tracefile & Tracereader (например, большие и более быстрые следы)
• История навигации + просмотр закладок (может быть, 2-в-1?)
• Более богатая информация трассировки, более агрессивная индексация соответствующих событий (например, вызовы функций)
• Trace Carography, улучшение суммирования и представления географии трассировки
• Сделайте выбор/обнаружение архитектуры процессора «
• Больше отслеживания мостов, Dynamorio, TTD, RR, QEMU, Bochs, ...
• Поддержка гекс-лучей / декомпилированных представлений (помимо базового представления синхронизации)
• Улучшенный рабочий процесс для автоматической загрузки или итерации на следах
• Дифференциальный анализ, высокий уровень «дифференциация следов»
• Лучшая навигация и разбивка потоков, Quantum's
• Лучшая поддержка навигации «много модуля» (например, полные следы системы)
• Двоичная поддержка ниндзя
• ...?

Я приветствую внешние взносы, проблемы и запросы функций. Пожалуйста, сделайте любые запросы на привлечение в develop отрасли этого репозитория, если вы хотите, чтобы они были рассмотрены для будущего выпуска.

• Маркус Гаседлен (@GAADELEN)