IDA动态调试病毒样本准备工作
准备:
1. IDA
2. Nokia PC 套件 :下载地址:http://nds1.nokia.com/files/support/global/phones/software/Nokia_PC_Suite_7_1_18_0_chi_sc_web.exe
3. SISContents工具
病毒样本压缩包截图
第一步: 使用Nokia提供的解压工具SISContents打开上图包如下图
第二步: 单击解包文件,解开压缩包,同时查看文件信息,注意文件安装路径.
通过上图获取信息:
程序名称: 橙阅图书
程序安装路径: c:/!:\sys\bin\MoLibrary.exe (!表示可能其他盘符).
可疑的文件:
1. \sys\bin\ MoLibrary.exe
2. \sys\bin\s.exe
3. \sys\bin\ssl.exe
第三步: 拷贝病毒样本到手机客户端,然后安装,获取程序安装路径
C:\sys\bin\ssl.exe
第四步: 在PC上安装诺基亚PC套件,启动它.
第五步: 用PC连接手机,选择PC套件连接.
第六步: 打开IDA,选择ARM处理器加载样本文件,如下图
第七步: 选择Remote Symbian debugger,设置IDA,如下图
第八步: 设置好了后,打开手机TRK软件连接。
第九步: 在IDA中API函数中下常用断点,后挂接进程如下图:
选择ssl.exe 后,单击OK.
开始调试分析…