ดาวน์โหลด ttddbg - ดาวน์โหลดซอร์สโค้ด ttddbg

ttddbg

หมวดหมู่อื่นๆ

SSTIC 2023 Release

ดาวน์โหลด

TTDDBG - ปลั๊กอิน Debugging IDA Time Travel

ผู้ใช้ Ida 8 ความสนใจ: การใช้ TTDDBG กับ IDA 8 ต้องใช้เวลาทำงานในขณะนี้ดูปัญหาที่ทราบ

ปลั๊กอินนี้เพิ่มตัวดีบักใหม่ให้กับ IDA ซึ่งรองรับการโหลดร่องรอยการดีบักการเดินทางข้ามเวลาที่สร้างขึ้นโดยใช้ Windbg Preview

หน้าต่างหลัก ttddbg

ปลั๊กอินนี้รองรับทั้งสองร่องรอย X86 และ X64 และโดยส่วนขยาย IDA และ IDA64

การติดตั้ง

การติดตั้งปลั๊กอินสามารถทำได้โดยใช้ตัวติดตั้งจากหน้ารีลีส ตัวติดตั้งจะติดตั้งการพึ่งพาที่ต้องการโดยอัตโนมัติหากคุณมีสำเนาของ Windbg Preview ที่ติดตั้ง

การใช้งาน

เมื่อติดตั้งแล้วคุณสามารถใช้ปลั๊กอินโดยเลือกตัวดีบัก ttddbg ในอินเตอร์เฟส IDA และระบุไฟล์ *.run ของคุณเป็น "แอปพลิเคชัน" สำหรับความช่วยเหลือในการสร้างไฟล์ .run ให้ดู HOWTO_TIME_TRAVEL.md

TTDDBG ดีบักเกอร์

การตั้งค่าดีบั๊ก TTDBG

ไอคอน	การกระทำ
	ไปที่จุดพักก่อนหน้า
	จำลองโปรแกรมเต็มรูปแบบ
	ย้อนกลับก้าวเดียว (RIP - One Assuctions)
	จัดการไทม์ไลน์ของเหตุการณ์ที่น่าสนใจ (เธรดที่สร้าง/สิ้นสุดการโหลดโมดูลโหลด/ขนถ่ายข้อยกเว้นกำหนดเอง)
	จัดการฟังก์ชั่นที่ถูกติดตามในปัจจุบัน
	ดูกิจกรรมการติดตาม

คุณลักษณะการติดตามฟังก์ชัน

ตั้งแต่เวอร์ชัน 1.1.0, TTDDBG รองรับคุณสมบัติใหม่ที่เราเรียกว่า "การติดตามฟังก์ชั่น" ในขณะที่อยู่ในมุมมองการดีบักมันเป็นไปได้ที่จะทำเครื่องหมายฟังก์ชั่นสำหรับการติดตามโดยคลิกขวาใน ฟังก์ชั่น หรืออินเทอร์เฟ ซโมดูล เมื่อมีการติดตามฟังก์ชั่นการเรียกใช้ฟังก์ชันนี้และคำสั่ง return ใด ๆ จะถูกบันทึกไว้ในหน้าต่าง กิจกรรมการติดตาม ใหม่

การใช้ข้อมูลฟังก์ชั่นจากงานวิศวกรรมย้อนกลับของคุณ TTDDBG ยังแยกพารามิเตอร์ที่ส่งผ่านไปยังฟังก์ชั่นเช่นเดียวกับค่าการส่งคืน สัญลักษณ์จะถูกพิมพ์โดยอัตโนมัติตามข้อมูลที่มีให้กับ IDA เช่นค่า enum

ปัญหาที่รู้จัก

การใช้ IDA Pro 8.2 และปลั๊กอินนี้นำไปสู่ความผิดพลาดเมื่อเข้าสู่ดีบักเกอร์ ปัญหานี้ดูเหมือนจะเกิดจากความไม่ลงรอยกันระหว่างปลั๊กอินนี้และปลั๊กอิน picture_search ซึ่งเป็นใหม่ใน IDA 8 การลบ picture_search.dll และ picture_search64.dll จากโฟลเดอร์ plugins แก้ไขปัญหานี้ชั่วคราว ปัญหาได้รับการยกขึ้นเป็น hex-rays

การสร้างโครงการ

ข้อกำหนดเบื้องต้น:

สำเนาของ IDA SDK (พร้อมใช้งานจากศูนย์ดาวน์โหลดโดยใช้ข้อมูลรับรอง IDA Pro ของคุณ)
สำเนาของ TTDReplay.dll (โดยปกติจะอยู่ใน C:Program FilesWindowsApps[WinDBG folder]amd64ttd )
สำเนาของ TTDReplayCPU.dll (โดยปกติจะอยู่ใน C:Program FilesWindowsApps[WinDBG folder]amd64ttd )

และปล่อยให้ cmake ทำเวทมนตร์!

$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release

มุมนักพัฒนา

เพื่อสร้างโซลูชัน dev:

$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ON