给IDA tenet 插件功能的一点点小优化
tenet插件的介绍网上也挺多的,在这里就不多废话了。主要针对如下问题做了更新和修改:(1)原作者给出的pintenet是用于抓取软件的执行trace的, 这个工具不提供任何trace日志的分段,我试着抓取了一个小型程序的trace,发现光启动过程就抓了1个多GB的trace,但是由于tenet插件是基于python3的插件,每次执行的trace日志条数基本不能超过50万条,一旦超过就直接报错,无法载入.
经过自己反复验证,trace日志在120MB一下时,基本可以正常使用和载入tenet插件。故而对于pintenet的dll进行了重新编译和修改。提供x86和x64两个版本的dll, 配合的pin版本是pin-3.20-98437-gf02b61307-msvc-windows(这个可以在intel官网直接下载)。如下图所示,我这个版本会自动分段trace,分析时只需载入自己感兴趣的那段执行时间就行。
(2)原来的tenet的插件有时候会遇到判断ASLR失误或者爆出各种异常,如下图所示。这里我做了一些修改和优化。在我这里验证,之前报错的trace经过修改后正常加载。
正常加载trace后,就可以在ida里面分析出trace中对于内存读写,寄存器变化等。可以更好的掌握软件执行时的跳转路径。
工具见附件
x64dbg已经有此插件了,正好IDA也配一个。 {:301_986:} 这个插件直接覆盖原来的就可以了吗? 这东西,应该可以使用吧? python3不能超过50万限制了好多事情 谢谢分享! 谢谢分享! 又可以更新插件了 感谢分享{:1_918:} 感谢感谢
页:
[1]