tiny_tracer

追踪的针线工具：

• API调用，包括选定功能的参数
• 选定的说明：RDTSC，CPUID，INT
• 内联系统调用，包括选定的syscall的参数
• 跟踪模块的各部分之间的过渡（有助于查找包装模块的OEP）
• 在定义的代码片段中执行说明

逃避了一些已知的反选技术和反VM技术

以.tag格式生成报告（可以将其加载到其他分析工具中）：

RVA;traced event

IE

345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
...

为了编译准备的项目，您需要使用Visual Studio> = 2012。它已使用Intel Pin 3.31进行了测试。
克隆此存储库中的sourcetools pin root目录中的工具。在Visual Studio和Build Build中打开项目。可用的详细说明。
要使用Windows上的Intel Pin <3.26构建，请使用适当的旧式视觉工作室项目。

目前，对Linux的支持是实验性的。然而，也可以在Linux上构建和使用Tiny Tracer。有关更多信息，请参阅tiny_runner.sh。可用的详细说明。

您将在项目的Wiki上找到有关使用情况的详细信息。

对于API参数跟踪的自动生成params.txt ，请尝试Yoavlevi的IAT跟踪器

• 为了使PIN正确工作，必须禁用内核调试。
• 在install32_64中，您可以找到一个实用程序，该实用程序检查内核调试器是否被禁用（ kdb_check.exe ，source），并且由Tiny Tracer的.bat脚本使用。 Windows Defender有时将此Utilty标记为恶意软件（这是已知的假阳性）。如果遇到此问题，则可能需要从Windows Defender扫描中排除安装目录。
• 由于版本3.20 PIN已放弃了对Windows旧版本的支持。如果您需要在Windows <8上使用该工具，请尝试使用PIN 3.19对其进行编译。

？问题？想法？加入讨论！