破坏者
一个IDA插件,用于在PE文件中静态查找ETW事件并生成条件断点以促进安全性研究。
如何安装?
只需将etwbreaker.py脚本放入IDA的plugins文件夹中即可。
git clone [email protected]:Airbus-CERT/etwbreaker.git
mklink "C:\\Program Files\\IDA Pro 7.4\\plugins\\etwbreaker.py" "etwbreaker\etwbreaker.py"
启动您的IDA,然后按Ctrl-Shift-L激活它。
它是如何工作的?
ETWBreaker尝试查找有关静态编译到Windows模块中的ETW提供程序的所有参考。
基于清单的提供者
ETWBreaker将尝试查找资源名称WEVT_TEMPLATE 。 此资源包括模块的ETW清单。 一旦获得所有可用事件,就可以计算签名并尝试
