gmg2719 发表于 2023-4-14 21:12

给IDA tenet 插件功能的一点点小优化

tenet插件的介绍网上也挺多的,在这里就不多废话了。主要针对如下问题做了更新和修改:
(1)原作者给出的pintenet是用于抓取软件的执行trace的, 这个工具不提供任何trace日志的分段,我试着抓取了一个小型程序的trace,发现光启动过程就抓了1个多GB的trace,但是由于tenet插件是基于python3的插件,每次执行的trace日志条数基本不能超过50万条,一旦超过就直接报错,无法载入.
经过自己反复验证,trace日志在120MB一下时,基本可以正常使用和载入tenet插件。故而对于pintenet的dll进行了重新编译和修改。提供x86和x64两个版本的dll, 配合的pin版本是pin-3.20-98437-gf02b61307-msvc-windows(这个可以在intel官网直接下载)。如下图所示,我这个版本会自动分段trace,分析时只需载入自己感兴趣的那段执行时间就行。

(2)原来的tenet的插件有时候会遇到判断ASLR失误或者爆出各种异常,如下图所示。这里我做了一些修改和优化。在我这里验证,之前报错的trace经过修改后正常加载。

正常加载trace后,就可以在ida里面分析出trace中对于内存读写,寄存器变化等。可以更好的掌握软件执行时的跳转路径。

工具见附件

冥界3大法王 发表于 2023-4-14 21:47

x64dbg已经有此插件了,正好IDA也配一个。 {:301_986:}

weigaozu 发表于 2023-4-15 00:00

这个插件直接覆盖原来的就可以了吗?

zjh889 发表于 2023-4-15 00:08

这东西,应该可以使用吧?

wan456 发表于 2023-4-15 05:40

python3不能超过50万限制了好多事情

fangchang819 发表于 2023-4-15 12:33

谢谢分享!

xiaowok6 发表于 2023-4-15 12:51

谢谢分享!

KyrieAndrewIr 发表于 2023-4-15 16:22

又可以更新插件了

HYJ0714 发表于 2023-4-16 19:40

感谢分享{:1_918:}

Db2k 发表于 2023-5-27 18:29

感谢感谢
页: [1]
查看完整版本: 给IDA tenet 插件功能的一点点小优化