[原创]发布1个跟踪器,非常方便的跟踪和查看功能-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]发布1个跟踪器,非常方便的跟踪和查看功能

发表于: 2006-7-3 13:19 17617

[原创]发布1个跟踪器,非常方便的跟踪和查看功能

runtracer

2006-7-3 13:19

17617

对程序的运行进行记录，然后分析、比较记录，这种方法与动态调试一样的重要，而且更方便。但OD的跟踪却不太好用，记录流水帐式的顺序显示，不好做分析。而且速度也很慢。OD太大了，作者难以面面顾及。

为了发展这种调试方法，我写了一个跟踪器。可以方便的进行跟踪，速度更快。跟踪记录的显示我认为是重点也是难点，考虑不同的需求要有不同的显示方式，所以我将显示做在插件中，这样可以集思广义，也可根据需要自己显示。

已经提供一个插件，它的显示是按函数来的：通过分析记录，找出其中的函数结构，然后再分析函数中的逻辑结构。显示时按函数显示，函数内按逻辑缩进显示。查看记录时就与我们平时调试自己写的程序差不多。

这种显示应能满足大部分人的需要，但要真正好用需经受实践的考验。所以将插件的源码给出，大家可以对他做出改进，也可以自己写插件显示。在跟踪器中还有其他可以扩充的功能，为了方便收集大家的改进和建议，我建了个论坛，用来集中对此软件的思想。

因为是每天都要上班，做这个时间比较少。所以目前还只在XP下做了测试，建议在XP下使用。

由于权限不够，软件上传不了，请到论坛去下载。游客身份具备搜索和下载功能。
论坛的电信地址是http://www.runtracer.com。网通地址：http://bbs.runtracer.com

没想到这个帖子还没沉下去,这里放的这个版本太旧了.我在不停的更新,级别太低,不往这边放了,请转到我论坛去下载.发布区地址：
http://www.runtracer.com/thread.php?fid-5.html

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

runtracer 1.01beta2.rar （856.78kb，37次下载）

收藏・2

免费・0

支持

最新回复 (47) 1 2 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼支持新工具 2006-7-3 13:22 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 3 楼吹牛的。从原理上说，跟踪运行一条指令然后记录，不可能很快。 2006-7-3 13:35 0
runtracer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	runtracer 4 楼速度不是最重要的，还有提升余地 2006-7-3 13:36 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 5 楼最初由 runtracer* 发布* 速度不是最重要的，还有提升余地从你的介绍来看，不就是强调速度和分析吗？你现在又说“速度不重要”？再说你的分析，从原理上说你也不可能很强。目前静态分析最强的软件只有IDA,我想你也不可能超越IDA.因为跟踪记录的代码都是动态的，很难结合上下指令动态进行分析，如果要做到，那么其人工智能不是一般的难。综上所述，所以我认为你吹牛的成分大于软件本身。 2006-7-3 13:57 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 6 楼加入一些快捷键，且能中断在入口点就好了. 若先用OD打开记事本,再用RT下记录点记事本会出错。 2006-7-3 14:23 0
caterpilla 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	caterpilla 1 7 楼楼主辛苦，支持一下。。。。。。。 2006-7-3 14:34 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 8 楼辛苦，要用好不容易 2006-7-3 15:31 0
runtracer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	runtracer 9 楼最初由 gkend* 发布* 从你的介绍来看，不就是强调速度和分析吗？你现在又说“速度不重要”？再说你的分析，从原理上说你也不可能很强。目前静态分析最强的软件只有IDA,我想你也不可能超越IDA.因为跟踪记录的代码都是动态的，很难结合上下指令动态进行分析，如果要做到，那么其人工智能不是一般的难。综上所述，所以我认为你吹牛的成分大于软件本身。说吹牛也行,我也不在乎.随便你怎么认为,最好先用用,了解一下再说 2006-7-3 15:45 0
tzl 雪币： 219 活跃值： (1634) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 10 楼学习一下,感谢提供! 2006-7-3 16:27 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 11 楼很不错的工具~感谢楼主的劳动随便试了几个程序，功能还有待进一步加强。 2006-7-3 17:28 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 12 楼支持楼主的劳动. 在我这里不能载入新进程啊, 我的OS是XP sp2 2006-7-3 18:10 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 13 楼提示数据执行保护, 是不是里面有注入之类的代码呢? 2006-7-3 18:12 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 14 楼载入一个asprotect保护的，程序异常 2006-7-3 18:27 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 15 楼对不起, 看来不是注入的问题, 异常发生在GetThreadContext之后的一个CALL里. 0040A620 \|. FFD0 \|call eax ; eax = 00A154C0 00A154C0 8B4424 04 mov eax,dword ptr ss:[esp+4] 00A154C4 85C0 test eax,eax ; 这里发生的异常 00A154C6 75 06 jnz short 00A154CE 00A154C8 B8 88EE0010 mov eax,1000EE88 00A154CD C3 retn 未发现SEH对其处理. 2006-7-3 18:38 0
lopman 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	lopman 16 楼 Win2000 sp4 PIV 2.9G Intel CPU,运行计算器出错 2006-7-3 18:56 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 17 楼可能是我的系统上有什么软件或者设置对内存写入有了保护, 所以才造成了异常, 奇怪中... 2006-7-3 18:59 0
hottropic 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hottropic 18 楼支持楼主的无私！ 2006-7-3 20:16 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 19 楼？？有OD强没有w32dasm强没？ 2006-7-3 20:54 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 20 楼 winxp sp2 运行记事本出错楼主加油吧 2006-7-3 21:18 0
cileN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	cileN 21 楼感谢楼主的无私奉献 2006-7-3 21:24 0
runtracer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	runtracer 22 楼新发了一个版本,应该不再有数据执行保护了,可去我论坛下载. 2006-7-3 23:38 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 23 楼对你的反汇编引擎比较感兴趣 2006-7-4 00:32 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 24 楼 winxp sp2 无壳记事本依旧异常 SIMPLESHOW.DLL 0xc0000005 access violation 00CE31E6 and eax,7 00CE31E9 mov edi,dword ptr [eax*4+0CEC17Ch] 00CE31F0 xor eax,eax 00CE31F2 repne scas byte ptr [edi] 00CE31F4 not ecx 00CE31F6 sub edi,ecx 00CE31F8 mov esi,edi 00CE31FA mov edi,dword ptr [esp+14h] 00CE31FE mov eax,ecx 00CE31F2 repne scas byte ptr [edi] 这行 2006-7-4 00:56 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 25 楼早就说了不要相信他吹牛。他就是贬低OD来抬高自己，其实根本就不如OD.OD的跟踪记录及代码分析已经做到较好。如果你要稍微提高跟踪记录的速度，那么建议楼主做一个OD插件就可以了。 2006-7-4 07:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

runtracer

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) 1 2 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼支持新工具 2006-7-3 13:22 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 3 楼吹牛的。从原理上说，跟踪运行一条指令然后记录，不可能很快。 2006-7-3 13:35 0
runtracer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	runtracer 4 楼速度不是最重要的，还有提升余地 2006-7-3 13:36 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 5 楼最初由 runtracer* 发布* 速度不是最重要的，还有提升余地从你的介绍来看，不就是强调速度和分析吗？你现在又说“速度不重要”？再说你的分析，从原理上说你也不可能很强。目前静态分析最强的软件只有IDA,我想你也不可能超越IDA.因为跟踪记录的代码都是动态的，很难结合上下指令动态进行分析，如果要做到，那么其人工智能不是一般的难。综上所述，所以我认为你吹牛的成分大于软件本身。 2006-7-3 13:57 0
lingyu 雪币： 1022 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 449 粉丝 0 关注私信	lingyu 1 6 楼加入一些快捷键，且能中断在入口点就好了. 若先用OD打开记事本,再用RT下记录点记事本会出错。 2006-7-3 14:23 0
caterpilla 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	caterpilla 1 7 楼楼主辛苦，支持一下。。。。。。。 2006-7-3 14:34 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 8 楼辛苦，要用好不容易 2006-7-3 15:31 0
runtracer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	runtracer 9 楼最初由 gkend* 发布* 从你的介绍来看，不就是强调速度和分析吗？你现在又说“速度不重要”？再说你的分析，从原理上说你也不可能很强。目前静态分析最强的软件只有IDA,我想你也不可能超越IDA.因为跟踪记录的代码都是动态的，很难结合上下指令动态进行分析，如果要做到，那么其人工智能不是一般的难。综上所述，所以我认为你吹牛的成分大于软件本身。说吹牛也行,我也不在乎.随便你怎么认为,最好先用用,了解一下再说 2006-7-3 15:45 0
tzl 雪币： 219 活跃值： (1634) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 10 楼学习一下,感谢提供! 2006-7-3 16:27 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 11 楼很不错的工具~感谢楼主的劳动随便试了几个程序，功能还有待进一步加强。 2006-7-3 17:28 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 12 楼支持楼主的劳动. 在我这里不能载入新进程啊, 我的OS是XP sp2 2006-7-3 18:10 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 13 楼提示数据执行保护, 是不是里面有注入之类的代码呢? 2006-7-3 18:12 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 14 楼载入一个asprotect保护的，程序异常 2006-7-3 18:27 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 15 楼对不起, 看来不是注入的问题, 异常发生在GetThreadContext之后的一个CALL里. 0040A620 \|. FFD0 \|call eax ; eax = 00A154C0 00A154C0 8B4424 04 mov eax,dword ptr ss:[esp+4] 00A154C4 85C0 test eax,eax ; 这里发生的异常 00A154C6 75 06 jnz short 00A154CE 00A154C8 B8 88EE0010 mov eax,1000EE88 00A154CD C3 retn 未发现SEH对其处理. 2006-7-3 18:38 0
lopman 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	lopman 16 楼 Win2000 sp4 PIV 2.9G Intel CPU,运行计算器出错 2006-7-3 18:56 0
backer 雪币： 1829 活跃值： (1357) 能力值： (RANK：50 ) 在线值：发帖 26 回帖 324 粉丝 111 关注私信	backer 1 17 楼可能是我的系统上有什么软件或者设置对内存写入有了保护, 所以才造成了异常, 奇怪中... 2006-7-3 18:59 0
hottropic 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hottropic 18 楼支持楼主的无私！ 2006-7-3 20:16 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 19 楼？？有OD强没有w32dasm强没？ 2006-7-3 20:54 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 20 楼 winxp sp2 运行记事本出错楼主加油吧 2006-7-3 21:18 0
cileN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 41 粉丝 0 关注私信	cileN 21 楼感谢楼主的无私奉献 2006-7-3 21:24 0
runtracer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	runtracer 22 楼新发了一个版本,应该不再有数据执行保护了,可去我论坛下载. 2006-7-3 23:38 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 23 楼对你的反汇编引擎比较感兴趣 2006-7-4 00:32 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 24 楼 winxp sp2 无壳记事本依旧异常 SIMPLESHOW.DLL 0xc0000005 access violation 00CE31E6 and eax,7 00CE31E9 mov edi,dword ptr [eax*4+0CEC17Ch] 00CE31F0 xor eax,eax 00CE31F2 repne scas byte ptr [edi] 00CE31F4 not ecx 00CE31F6 sub edi,ecx 00CE31F8 mov esi,edi 00CE31FA mov edi,dword ptr [esp+14h] 00CE31FE mov eax,ecx 00CE31F2 repne scas byte ptr [edi] 这行 2006-7-4 00:56 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 25 楼早就说了不要相信他吹牛。他就是贬低OD来抬高自己，其实根本就不如OD.OD的跟踪记录及代码分析已经做到较好。如果你要稍微提高跟踪记录的速度，那么建议楼主做一个OD插件就可以了。 2006-7-4 07:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复