etwbreaker:一个IDA插件用于处理Windows事件跟踪(ETW) 源码

破坏者 一个IDA插件,用于在PE文件中静态查找ETW事件并生成条件断点以促进安全性研究。 如何安装? 只需将etwbreaker.py脚本放入IDA的plugins文件夹中即可。 git clone git@github.com:Airbus-CERT/etwbreaker.git mklink "C:\\Program Files\\IDA Pro 7.4\\plugins\\etwbreaker.py" "etwbreaker\etwbreaker.py" 启动您的IDA,然后按Ctrl-Shift-L激活它。 它是如何工作的? ETWBreaker尝试查找有关静态编译到Windows模块中的ETW提供程序的所有参考。 基于清单的提供者 ETWBreaker将尝试查找资源名称WEVT_TEMPLATE 。 此资源包括模块的ETW清单。 一旦获得所有可用事件,就可以计算签名并尝试