tiny_tracer

追踪的針線工具：

• API調用，包括選定功能的參數
• 選定的說明：RDTSC，CPUID，INT
• 內聯繫統調用，包括選定的syscall的參數
• 跟踪模塊的各部分之間的過渡（有助於查找包裝模塊的OEP）
• 在定義的代碼片段中執行說明

逃避了一些已知的反選技術和反VM技術

以.tag格式生成報告（可以將其加載到其他分析工具中）：

RVA;traced event

IE

345c2;section: .text
58069;called: C:WindowsSysWOW64kernel32.dll.IsProcessorFeaturePresent
3976d;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
3983c;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
3999d;called: C:WindowsSysWOW64KernelBase.dll.InitializeCriticalSectionEx
398ac;called: C:WindowsSysWOW64KernelBase.dll.FlsAlloc
3995d;called: C:WindowsSysWOW64KernelBase.dll.FlsSetValue
49275;called: C:WindowsSysWOW64kernel32.dll.LoadLibraryExW
4934b;called: C:WindowsSysWOW64kernel32.dll.GetProcAddress
...

為了編譯準備的項目，您需要使用Visual Studio> = 2012。它已使用Intel Pin 3.31進行了測試。
克隆此存儲庫中的sourcetools pin root目錄中的工具。在Visual Studio和Build Build中打開項目。可用的詳細說明。
要使用Windows上的Intel Pin <3.26構建，請使用適當的舊式視覺工作室項目。

目前，對Linux的支持是實驗性的。然而，也可以在Linux上構建和使用Tiny Tracer。有關更多信息，請參閱tiny_runner.sh。可用的詳細說明。

您將在項目的Wiki上找到有關使用情況的詳細信息。

對於API參數跟踪的自動生成params.txt ，請嘗試Yoavlevi的IAT跟踪器

• 為了使PIN正確工作，必須禁用內核調試。
• 在install32_64中，您可以找到一個實用程序，該實用程序檢查內核調試器是否被禁用（ kdb_check.exe ，source），並且由Tiny Tracer的.bat腳本使用。 Windows Defender有時將此Utilty標記為惡意軟件（這是已知的假陽性）。如果遇到此問題，則可能需要從Windows Defender掃描中排除安裝目錄。
• 由於版本3.20 PIN已放棄了對Windows舊版本的支持。如果您需要在Windows <8上使用該工具，請嘗試使用PIN 3.19對其進行編譯。

？問題？想法？加入討論！