Снять трассу выполнения программы
Здравствуйте, хотел спросить не подскажете чем лучше снять трассу исполнения программы ? Одно важное условие, нужно что бы эта тулза работала с kernel mod в Windows.
Pin - хороший вариант, но не уверен работает ли он с ядром?
Плагин к WinDbg - такого плагина не нашел, и тут вариант, либо писать нативный плагин либо на питоне юзая PyKd.
Re: Снять трассу выполнения программы
Pin стопудова не вариант, вам видимо нужно что-то вроде Bochs, правда сам трассы через него не снимал.
Плагин к WinDBG будет очень медленно работать
High tech, low life
Dark Koder (19-10-2015) dukeBarman (15-10-2015)
Re: Снять трассу выполнения программы
Pin не вариант судя потому что он не работает в режиме ядра. Или еще есть причины ?
А есть ли DBI фреймворки которые могут работать в ядре? читал что они есть но приватные только.
А чуть подробнее, не подскажите, что и как это едят ? (оно ?)вам видимо нужно что-то вроде Bochs
Плагин будет сильно медленный ? А что тогда еще можно использовать ?
Re: Снять трассу выполнения программы
Is there anything like PIN or DynamoRIO to instrument at Kernel level?
http://reverseengineering.stackexcha...nstrumentation
Счастлив кто отдал, а не взял. (с) Inception
Dark Koder (19-10-2015) JKornev (15-10-2015) benedict (15-10-2015) dukeBarman (15-10-2015)
Re: Снять трассу выполнения программы
Intel PIN (и т.п. DBI) работает в юзермоде, там тупо dll внедряется в целевой процесс. Поскольку вам надо снимать трассировку из ядра, то видимо необходимо использовать эмулятор процессора. Гуглите трассировку через Qemu, Bochs.
Для ядра сильно, но если вам надо оттрасировать маленький кусок кода, то мб и сойдётПлагин будет сильно медленный ? А что тогда еще можно использовать ?
High tech, low life
Dark Koder (19-10-2015) benedict (15-10-2015)
Re: Снять трассу выполнения программы
Попробуйте Panda, она вроде как из коробки поддерживает трассировку системных вызовов. А на pykd многие говорят, что очень медленно будет
A hacker without a cat is not a hacker!
Re: Снять трассу выполнения программы
Спасибо, там да порекомендовали пару тулзов для инструментации ядра.Is there anything like PIN or DynamoRIO to instrument at Kernel level?
http://reverseengineering.stackexcha...nstrumentation
Спасибо , не слышал даже про такой фреймворк. Судя по всему это то что нужно , ну буду курить что к чему.Попробуйте Panda, она вроде как из коробки поддерживает трассировку системных вызовов. А на pykd многие говорят, что очень медленно будет
Всем спасибо большое )
Кстати еще наткнулся на такую тулзу DbiFuzz framework, никто не юзал ?
http://www.slideshare.net/PeterHlava...s-e0x03-slides
https://github.com/zer0mem/ShowMeYou...ee/x64userland
Last edited by benedict; 15-10-2015 at 16:52.
Dark Koder (19-10-2015) Darwin (16-10-2015)
Posting Permissions
|
All times are GMT. The time now is 01:24
vBulletin® Copyright ©2000 - 2018 www.reverse4you.org |
|
Reply With Quote
Thanks
