ttddbg
SSTIC 2023 Release
该插件为IDA添加了一个新的调试器,该调试器支持使用WINDBG预览生成的加载时间旅行调试痕迹。
该插件支持X86和X64跟踪,以及扩展IDA和IDA64。
可以使用“版本”页面中的安装程序来安装插件。只要您安装了WINDBG预览的副本,安装程序将自动安装所需的依赖项。
安装后,您可以通过在IDA接口中选择ttddbg调试器来使用插件,并将*.run文件指定为“应用程序”。有关生成.run文件的帮助,请参见HOWTO_TIME_TRAVEL.md 。
| 图标 | 行动 |
|---|---|
 | 转到以前的断点 |
 | 模拟该程序的完整运行 |
 | 向后一步(RIP-一项指令) |
 | 管理有趣事件的时间表(线程创建/终止,模块加载/卸载,异常,自定义) |
 | 管理当前跟踪的功能 |
 | 查看跟踪事件 |
由于版本1.1.0,TTDDBG支持我们称为“功能跟踪”的新功能。在调试视图中,可以通过在功能或模块接口中右键单击它们来标记跟踪功能。一旦跟踪函数,将对此函数进行任何调用以及任何return语句,都将记录在新的跟踪事件窗口中。
使用逆向工程工作中的功能信息,TTDDBG还提取传递给该函数及其返回值的参数。根据IDA可用的信息,例如枚举值,符号会自动打印。
picture_search插件之间的不兼容而引起picture_search64.dll ,该插件是IDA 8 picture_search.dll的新事物plugins问题已经提高到十六进制射线。 先决条件:
TTDReplay.dll的副本(通常在C:Program FilesWindowsApps[WinDBG folder]amd64ttd )TTDReplayCPU.dll的副本(通常在C:Program FilesWindowsApps[WinDBG folder]amd64ttd )让Cmake做魔术!
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release 创建一个开发解决方案:
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ON迎接他在TTD结合的工作!
