tiny_tracer
2.9
เครื่องมือ PIN สำหรับการติดตาม:
หลีกเลี่ยงเทคนิคการต่อต้าน debug และ anti-VM ที่รู้จักกันดี
สร้างรายงานในรูปแบบ .tag (ซึ่งสามารถโหลดลงในเครื่องมือวิเคราะห์อื่น ๆ ):
RVA;traced eventเช่น
345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
... ในการรวบรวมโครงการที่เตรียมไว้คุณต้องใช้ Visual Studio> = 2012 มันถูกทดสอบด้วย Intel Pin 3.31
โคลน repo นี้ลงใน sourcetools ที่อยู่ในไดเรกทอรีรูท PIN ของคุณ เปิดโครงการใน Visual Studio และ Build คำอธิบายโดยละเอียดมีอยู่ที่นี่
ในการสร้างด้วย Intel Pin <3.26 บน Windows ให้ใช้โครงการ Visual Studio Legacy ที่เหมาะสม
สำหรับตอนนี้การสนับสนุน Linux เป็นการทดลอง แต่ก็เป็นไปได้ที่จะสร้างและใช้ตัวติดตามเล็ก ๆ บน Linux เช่นกัน โปรดอ้างอิง tiny_runner.sh สำหรับข้อมูลเพิ่มเติม คำอธิบายโดยละเอียดมีอยู่ที่นี่
รายละเอียดเกี่ยวกับการใช้งานที่คุณจะพบในวิกิของโครงการ
สำหรับการสร้าง params.txt โดยอัตโนมัติสำหรับการติดตามอาร์กิวเมนต์ API ลองใช้ iat-tracer โดย yoavlevi
install32_64 คุณสามารถค้นหายูทิลิตี้ที่ตรวจสอบว่าดีบักเกอร์เคอร์เนลถูกปิดใช้งานหรือไม่ ( kdb_check.exe , แหล่งที่มา) และใช้งานโดยสคริปต์ .bat ของตัวติดตามเล็ก ๆ บางครั้งประโยชน์นี้ได้รับการตั้งค่าสถานะเป็นมัลแวร์โดย Windows Defender (เป็นบวกที่ผิดพลาดที่รู้จักกันดี) หากคุณพบปัญหานี้คุณอาจต้องยกเว้นไดเรกทอรีการติดตั้งจากการสแกน Windows Defender- คำถาม? ไอเดีย? เข้าร่วมการสนทนา!
