ttddbg
SSTIC 2023 Release
該插件為IDA添加了一個新的調試器,該調試器支持使用WINDBG預覽生成的加載時間旅行調試痕跡。
該插件支持X86和X64跟踪,以及擴展IDA和IDA64。
可以使用“版本”頁面中的安裝程序來安裝插件。只要您安裝了WINDBG預覽的副本,安裝程序將自動安裝所需的依賴項。
安裝後,您可以通過在IDA接口中選擇ttddbg調試器來使用插件,並將*.run文件指定為“應用程序”。有關生成.run文件的幫助,請參見HOWTO_TIME_TRAVEL.md 。
| 圖示 | 行動 |
|---|---|
 | 轉到以前的斷點 |
 | 模擬該程序的完整運行 |
 | 向後一步(RIP-一項指令) |
 | 管理有趣事件的時間表(線程創建/終止,模塊加載/卸載,異常,自定義) |
 | 管理當前跟踪的功能 |
 | 查看跟踪事件 |
由於版本1.1.0,TTDDBG支持我們稱為“功能跟踪”的新功能。在調試視圖中,可以通過在功能或模塊接口中右鍵單擊它們來標記跟踪功能。一旦跟踪函數,將對此函數進行任何調用以及任何return語句,都將記錄在新的跟踪事件窗口中。
使用逆向工程工作中的功能信息,TTDDBG還提取傳遞給該函數及其返回值的參數。根據IDA可用的信息,例如枚舉值,符號會自動打印。
picture_search插件之間的不兼容而引起picture_search64.dll ,該插件是IDA 8 picture_search.dll的新事物plugins問題已經提高到十六進制射線。 先決條件:
TTDReplay.dll的副本(通常在C:Program FilesWindowsApps[WinDBG folder]amd64ttd )TTDReplayCPU.dll的副本(通常在C:Program FilesWindowsApps[WinDBG folder]amd64ttd )讓Cmake做魔術!
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DCPACK_PACKAGE_INSTALL_DIRECTORY= " IDA Pro 7.7 "
$ cmake --build . --target package --config release 創建一個開發解決方案:
$ git clone [email protected]:airbus-cert/ttddbg.git --recursive
$ mkdir build
$ cd build
$ cmake .. t tddbg -DIDA_SDK_SOURCE_DIR=[PATH_TO_IDA_SDK_ROOT_FOLDER] -DBUILD_TESTS=ON迎接他在TTD結合的工作!
