Computer/Program Analysis
-
Hyper-V Windows 10 VM intel processor traceComputer/Program Analysis 2020. 11. 18. 16:57
Intel Processor Trace는 현재 VMWare VM에서 동작하지 않는다. Hyper-V VM에서는 2019년부터 지원을 한다. 호스트는 Windows 10 1903 이상이어야 한다. 가상머신을 만들 때 Version이 9.1 이상이어야 한다. Hyper-V에서 가상머신 만들려 하면 Windows 10 20H2 버전 기준으로 했을 때 Default가 9.0이므로 9.1 버전으로 만들도록 해야 한다. Powershell 창에서 다음과 같이 만든다. New-VM -Name "Win10_2004_x64" -Version 9.1 Set-VMProcessor Win10_2004_x64 -Perfmon @("pmu", "lbr", "pebs", "ipt") 생성 후 프로세서 옵션도 정해 주어야 한다. 마..
-
IDA Pro 마우스 우클릭으로 실행Computer/Program Analysis 2019. 11. 18. 13:56
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\IDA64] @="&IDA64" [HKEY_CLASSES_ROOT\*\shell\IDA64\command] @="\"C:\\Program Files\\IDA Pro 7.4\\ida64.exe\"" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\IDA32] @="&IDA32" [HKEY_CLASSES_ROOT\*\shell\IDA32\command] @="\"C:\\Program Files\\IDA Pro 7.4\\ida.exe\"" Mouse RIght Click으로 IDA 열 때 사용하는 레지스트리.
-
Intel Pin Internal ThreadComputer/Program Analysis 2019. 1. 31. 10:43
Intel Pin 문서를 보면 Internal Thread의 용도는 Application으로부터 분리되어 Pin Tool에 필요한 일을 하기 위해서라고 한다. 예를 들어 Analysis 함수에서 Win32 API를 부르게 되면 실제 관찰하고 있는 Application에 영향을 줄 수 있기 때문에 Internal Thread에서 일을 하는 것이 좋다. Dynamic Instrumentation의 특성상 실제 Application Thread에서 Analysis Routine이 동작하고 있기 때문이다. Internal Thread를 제어하기 위해서는 Locking Primitives를 이용하는데 Semaphore가 섬세하게 Control 하는데 도움이 된다.
-
OLLVM installation on Windows 10Computer/Program Analysis 2018. 2. 2. 17:06
Prerequisites. 1) mingw-w64https://sourceforge.net/projects/mingw-w64/ Select x86_64 and posix. Without this configuration, gcc will give errors related mutex - "error: 'mutex' in namespace 'std' does not name a type static std::mutex ErrorHandlerMutex;" 2) cmake 3) git Installation. Open mingw64 shell and enter the following commands. git clone https://github.com/Qrilee/llvm-obfuscator mkdir bu..
-
x64dbg instruction tracingComputer/Program Analysis 2017. 9. 5. 11:20
x64dbg는 ollydbg 같이 instruction tracing을 위한 독립된 창이 없고 로그 창에 tracing 된다. 그리고 ui 도 메뉴에서 하지 못하고 커맨드 창에서 해야 한다. 검색해 보면 https://forum.tuts4you.com/topic/39374-tracing/에 설명이 자세히 나와 있다. 위를 요약해서 적용해 보았다. 커맨드 창에 다음과 같이 하면 동작 한다. TraceSetLogFile "C:\Temp\x64dbgTrace.log” TraceSetLog "{p:cip} {i:cip}" tibt rip==7ff6ac01290c TraceSetLogFile은 파일에 출력하기 위해 지정한다. 이것을 하지 않으면 Log 창에 출력 된다. TraceSetLog는 로그 출력 형식이다...
-
Triton DBA Framework Build for Windows x64Computer/Program Analysis 2016. 11. 3. 18:12
For Ubuntu, the build process is straightforward. For Windows x64, I failed to build with Visual Studio 2015 giving some errors related snprintf. Even after I installed VS2013 build tools, it failed with the same error. So, I installed Visual Studio 2013.Before building Triton, dependent libraries - Z3, capstone with VS2013 - are rebuilt with x64 option. Python x64 is reinstalled. Finally I succ..