BranchMonitoringProject 使用教程

1. 项目介绍

BranchMonitoringProject 是一个基于分支监控的进程监控解决方案，适用于现代 Windows 系统。该项目利用 Intel 处理器的分支跟踪存储（Branch Trace Store, BTS）技术，实现了一个动态、透明的监控框架。该框架提供了多种分析功能，如函数调用跟踪和控制流图（Control Flow Graph, CFG）重建。

项目由 Marcus Botacin 开发，作为其在 University of Campinas 的计算机科学硕士工作的一部分，由 Paulo Lício de Geus 和 André Ricardo Abed Grégio 教授指导。

2. 项目快速启动

2.1 环境准备

• 操作系统：Windows
• 开发工具：Visual Studio 2012
• 依赖库：MSVCR110D.dll（调试符号编译时需要）
• Python 和 win32file（简单客户端需要）
• .Net Framework（高级客户端需要）
• Capstone（代码反汇编需要）
• Sysinternals, BeautifulSoup, Codecs, ConfigParser（自动启动器需要）
• DLL Export Viewer（DumpDLL 工具需要）
• Alignment 库（Divergence Analysis 工具需要）

2.2 编译项目

1. 克隆项目仓库：

   git clone https://github.com/marcusbotacin/BranchMonitoringProject.git
   

2. 打开 Visual Studio 2012，加载项目解决方案文件。

3. 配置编译路径和系统架构：

   // 在 config.h 文件中设置
   #define DEBUG
   #define DRIVER_NAME "[BRANCH-MONITOR]"
   #define DRIVERNAME L"\\Device\\BranchMonitor"
   #define DOSDRIVERNAME L"\\DosDevices\\BranchMonitor"
   #define BTS_CORE 3
   

4. 编译项目。

2.3 安装和运行

1. 禁用驱动签名强制：

   • 重启系统，进入 BIOS 设置，禁用驱动签名强制。

2. 安装驱动：

   • 使用服务管理器加载驱动。

3. 运行简单客户端：

   python simple_client.py
   

4. 运行高级客户端：

   BranchClient.exe <binary_address> <library_addresses>
   

3. 应用案例和最佳实践

3.1 恶意软件分析

BranchMonitoringProject 可以用于实时监控恶意软件的行为，通过捕获分支数据，分析其控制流图，识别潜在的恶意行为。

3.2 调试透明性验证

项目中的 Transparency Tests 工具可以用于验证调试器的透明性，确保在监控过程中不会被检测到。

3.3 控制流完整性（CFI）验证

ROP 工具可以用于在执行跟踪中验证控制流完整性，防止 ROP 攻击。

4. 典型生态项目

4.1 PIN Branch Monitor

PIN Branch Monitor 是一个基于 DBT（Dynamic Binary Translation）的分支监控实现，用于比较研究。

4.2 RetMonitor

RetMonitor 提供了 PEBS 和 LBR 支持，用于进一步的研究目的。

4.3 DumpDLL

DumpDLL 工具用于简化内省头文件的生成，解析 DLL 转储并生成正确的有序输出。

通过以上步骤，您可以快速启动并使用 BranchMonitoringProject 进行进程监控和分析。