IDA动态调试病毒样本准备工作

准备:

1. IDA

2. Nokia PC 套件 :下载地址:http://nds1.nokia.com/files/support/global/phones/software/Nokia_PC_Suite_7_1_18_0_chi_sc_web.exe

3. SISContents工具

 

病毒样本压缩包截图

第一步: 使用Nokia提供的解压工具SISContents打开上图包如下图

第二步: 单击解包文件,解开压缩包,同时查看文件信息,注意文件安装路径.

通过上图获取信息:

程序名称: 橙阅图书

程序安装路径: c:/!:\sys\bin\MoLibrary.exe (!表示可能其他盘符).

可疑的文件:

1. \sys\bin\ MoLibrary.exe

2. \sys\bin\s.exe

3. \sys\bin\ssl.exe

第三步: 拷贝病毒样本到手机客户端,然后安装,获取程序安装路径

        C:\sys\bin\ssl.exe

第四步: 在PC上安装诺基亚PC套件,启动它.

第五步: 用PC连接手机,选择PC套件连接.

第六步: 打开IDA,选择ARM处理器加载样本文件,如下图

第七步: 选择Remote Symbian debugger,设置IDA，如下图

第八步: 设置好了后,打开手机TRK软件连接。

第九步: 在IDA中API函数中下常用断点,后挂接进程如下图:

选择ssl.exe 后,单击OK.

开始调试分析…