Time Table

バイナリ解析の初期段階である「プログラムが実際に何をするのか」を理解することは、根本的に破綻しています。静的解析は実行される可能性のあるコードを示す一方、デバッガは単一の実行パスを段階的にゆっくりと表示するだけで、現代のソフトウェアの動的でマルチスレッドな現実を捉えきれていません。これはトリアージとインシデント対応にとって重大なボトルネックを生み出しています。

私たちは、別のデバッガではなく、軽量で高レベルな実行トレーサーであるBIN2TLを提案します。Intel Pinを使用して、具体的な実行から主要なイベント（関数呼び出し、スレッドアクティビティ）をキャプチャし、それらを標準のPerfettoタイムラインに変換します。その結果、プログラムの時間経過に伴う動作の完全な、インタラクティブな、高レベルのマップが得られます。

このアプローチは、他のツールでは提供できないもの、つまり迅速で全体的な概要を提供します。BIN2TLがどのように複雑な解析を直感的にするかをデモンストレーションします。ランサムウェアの暗号化スレッドがどのように並行して動作するか、または特定の機能が使用するコード領域を瞬時に特定する方法をご覧ください。