intel pin学习

已于 2022-07-14 10:20:11 修改
阅读量247 收藏
点赞数
分类专栏: 研究方向 文章标签: 学习
于 2020-12-06 11:49:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanlijia/article/details/110732772
版权

intel pin学习

pin 工具的功能

1. 替换原有程序函数
2. 探测程序任意指令,在自己设定的插入位置插入自己的代码并执行
3. 记录程序调用,包括syscall(检测改变参数)
4. 记录程序线程活动情况
5. 监测进程树
6. 模拟api调用(这里可以思维宽广点。。。)
Pin相当于一个JIT("just in time“)编译器。
Pin大体上有三种插装代码模式(指令级,rtn级,bbl级),
Pin的三种插入(代码)模式:
1.Instruction level (Ins )
即在每一条原始程序指令前,后插入自己的代码,即调用这个函数
这个级别执行可想而知,会执行的很慢,很耗时间。开销比较大,(虽然检测精度高)
(因为在每天指令上加入代码,即使自己的代码只包含一行(ps: nop),代码就至少膨胀5倍以上)

  1. Function level(RTN)

Pin通过符号表信息来找到这些需要插入的位置,要使用这种模式的代码插入,首先得调用pin内置的初始化符号表函数,即PIN_InitSymbols()

  1. Basic block level(BBL)
    即基本调用块级别,插入模式,只在trace时候可用。
    下面为pin的执行过程:
  2. 启动自己(pin.exe),以debugger的模式,附加要分析程序的进程
  3. 注入pinvm.dll到宿主程序中
  4. 注入自己的工具代码(即pintool.dll)
  5. 激活主程序进程

获取分析结果
有了这些log日志记录,所以很容易处理批量已知恶意代码。对于未知的文件,则可以制定提取一些特征规则,然后去匹配运行后的记录文件与内存dump文件特征,则能较快筛选出恶意与非恶意文件,还有可以更进一步给出样本分类。进行数据竞争预测。
对于特殊的样本则可以先用此工具运行,找到感兴趣的api或位置,根据前面的api返回地址跟踪过去,则会很容易进行逆向分析过程。对于加壳或者混淆过的恶意代码分析能够提供参考分析与帮助。

无名氏a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制动态插桩工具intel PIN学习笔记
Powerful_Green的博客
12-04 1293
本文是一篇关于intel PIN二进制动态插桩平台的学习笔记,本文同时给出了动态UPX脱壳器与RC4解密数据导出的实现
intel pin视频教程
07-23
本套视频教程主要讲的是pin二进制插桩工具的使用,通过从pin编译安装、pin工作机制、函数替换、模块编写等从浅入深,重点深入讲解了pin如何插入指令、替换指函数等原理。深入浅出的讲了pin中难以理解的知识,因此本套教程非常适合底层研究人员,通过学习pin,掌握pin的使用实现为日后学习其它高级技术打下基础。
intel Pin简要介绍及示例程序
Young12138的博客
02-15 1458
简要介绍Intel Pin动态二进制插桩平台的基本概念以及使用
intel pin 插桩工具入门
最新发布
whisper211的博客
03-09 1234
Intel Pin 是一种动态二进制插桩(DBI)工具,它允许用户在不修改源代码的情况下,对程序进行插桩和分析。插桩是指向程序中插入额外的代码,以便监视程序的执行、收集数据或修改程序的行为。Intel Pin 可以用于各种用途,包括性能分析、代码覆盖率分析、安全漏洞检测、软件调试等。通过插桩工具,开发人员可以获得对程序运行时行为的深入了解,而无需修改程序的源代码。性能分析:可以插入代码来跟踪函数调用、内存访问、指令执行等,从而进行性能分析和优化。安全分析。
Intel Pin学习笔记
shanlijia的博客
07-23 743
Pin Pin 是什么? 在一开始,可以将 Pin 理解为一种 Compiler。但是不同于传统的 compiler,Pin 的输入是可执行文件。Pin 根据我们的需求对可执行文件进行 compile 从而产生了新的可执行文件。为了满足我们的需求,Pin 提供了一系列API。 Pintool 为了实现我们的需求,需要知道: 在原始可执行文件的什么位置插入 代码(检测,instrumentation) 插入 什么代码 (分析,analysis) 这就是 Pintool。所以Pintool可以理解成在 Pin
在Linux下使用intel Pin ,并编译自己的pintools
lifangyi01的博客
06-17 1305
在Linux上,使用Intel Pin 编译自定义的代码
intel pin工具平台的官方资料
07-10
这是intel pin工具平台的官方资料,应该是最新的。里面很多用例
pin:使用Intel Pin工具分析二进制文件
05-20
#Intel Pin Tools basic usageBuilding Environment下载解压缩就可以使用不用另外安装将解压缩出来的资料夹加入$PATHWhat Is Pin pinintel 开发的一个binary analysis framework支援x86/x64 & windows/linux/mac ...
pin-2.13-62732.zip
03-26
pin-2.13-62732;intel pin 2.13 ;intel pin-2.13-62732;
pin-android:英特尔 PIN 码和安卓
06-26
我正在研究在 Android 应用程序上使用英特尔 PIN。 在这个 repo 中,我提供了一组脚本来安装工具链。 我让 PIN 工作,但我还没有考虑交叉编译 PIN 工具。 用法 git clone git@github....
pin-in-CTF:使用intel pin来求解一部分CTF challenge
05-09
pin-in-CTF 使用intel pin来求解一部分CTF challenges
安装和使用 Intel PIn
BadRer的博客
05-06 5343
转载自https://blog.csdn.net/fuxingwe/article/details/10176027一、  安装 在官网http://www.pintool.org/下载压缩包然后解压就行了 Building the Example Tools for Linux To build allexamples in a directory:$ cd source/tools/Manual
intel强力分析工具Pin的使用入门(1)
热门推荐
chocolate in my cup
11-03 1万+
Pinintel公司推出的一款动态二进制分析框架,可以用于构建强大的动态程序分析工具。比如CPM$im模拟器就是基于Pin开发的。Intel为了封锁技术,并没有让Pin开源, 但是提供了其编译版本供使用,用户可以以外挂的形式扩展自定义的分析函数。 本文内容来自Pin的官方用户手册http://software.intel.com/sites/landingpage/pintool/docs/
Intel Pin架构
网络安全研究
03-18 5935
使用Pin进行instrumentationPin提供的API可以让我们观察一个进程的状态,比如:内存、寄存器和控制流。Pin还提供了一些更改程序行为的机制,比如:允许重写程序的寄存器和内存。
Pin tool编写流程
nbabn的专栏
05-31 7222
为了实现一个特定的调试功能,学习了一下Pin tool的编写,由于只是一个临时性的工作,怕时间长了忘记,特记录下来。 其实Pin tool的编写还是相对比较容易的,因为有很多的例子程序可以参考,只要明白Pin的工作流程就可以了。 Pin tool由int main(int argc, char * argv[])函数开始,由NMAKE编译选项编译成特定的动态链接库,如果要编译自己的动态链接库,
PinTool使用小结
u011675886的博客
02-28 9190
PinTool使用小结Pin&DECAF比较PinIntel推出的一款动态二进制插桩工具,目前在学术界使用十分广泛。前不久推出了3.2版本,其主页为Pin主页 。需要注意的是Pin并没有开源,但它提供了丰富的用户使用接口,以及详细的用户手册 。因为某项实验要求,需要用到污点追踪。最开始我是先用了DECAF(TEMU的后继),不过因为对环境要求颇为麻烦以及实在是太慢了,加上DECAF没有直接对文件污
intel PIN
u013129143的博客
03-28 1191
pin 可以理解成一个"Just in time" 的编译器,只不过他接收的不是字节码,而是可执行文件. PIN接收可执行文件,然后解析代码段的第一条指令,再重新生成新的code.然后执行这个新的code(几乎和原来的指令一样). 在just in time 这种模式下,只会执行新产生的code.生成新的code的时候,pin让user来决定注入 那些代码(插桩) pin只会对那些 执行的code...
Pin工具的介绍
stonesharp的专栏
06-16 1万+
Pin工具的介绍 Pin 是一种动态二进制检测框架,适用于x86,x64架构,一般用于程序动态分析用,是多个平台都支持,windows 、linux以及OSX。该工具原本适用于计算机架构分析用的,但是由于丰富的api,与强大的功能现在运用的地方很多。比如计算机安全,环境模拟器,并行计算。 Pin相当于一个JIT("just in time“)编译器,并且有相当数量的实例代码(这一点真不
pin to pin
08-01
在引用[1]中提到,APM的同系列型号可以完全替换STM32,并且可以使用STM32的软件工程。然而,在进行APM单片机替换STM32单片机的过程中,可能会遇到一些问题。根据引用[2]和引用[3]的内容,pin to pin替换需要对程序进行修改。具体来说,在FLASH操作函数中,需要在HAL_FLASH_Unlock()之前加入__disable_interrupt(),在HAL_FLASH_Lock()之后加入__enable_interrupt()。如果项目中还有boot部分,也需要相应地修改boot中涉及到FLASH操作的部分。这些修改可以确保在pin to pin替换过程中的正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值