IDA动态调试病毒样本准备工作

诺基亚Symbian病毒样本分析
最新推荐文章于 2023-11-04 18:21:12 发布
转载 最新推荐文章于 2023-11-04 18:21:12 发布 · 157 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/xiaojinma/archive/2012/12/19/2825474.html
文章标签:

#嵌入式

本文介绍了一种针对诺基亚Symbian系统的病毒样本分析过程,包括使用NokiaPC套件和SISContents工具解压样本,利用IDA进行远程调试,并详细记录了分析步骤。

准备:

1. IDA

2. Nokia PC 套件 :下载地址:http://nds1.nokia.com/files/support/global/phones/software/Nokia_PC_Suite_7_1_18_0_chi_sc_web.exe

3. SISContents工具

 

病毒样本压缩包截图

第一步: 使用Nokia提供的解压工具SISContents打开上图包如下图

第二步: 单击解包文件,解开压缩包,同时查看文件信息,注意文件安装路径.

通过上图获取信息:

程序名称: 橙阅图书

程序安装路径: c:/!:\sys\bin\MoLibrary.exe (!表示可能其他盘符).

可疑的文件:

1. \sys\bin\ MoLibrary.exe

2. \sys\bin\s.exe

3. \sys\bin\ssl.exe

第三步: 拷贝病毒样本到手机客户端,然后安装,获取程序安装路径

        C:\sys\bin\ssl.exe

第四步: 在PC上安装诺基亚PC套件,启动它.

第五步: 用PC连接手机,选择PC套件连接.

第六步: 打开IDA,选择ARM处理器加载样本文件,如下图

第七步: 选择Remote Symbian debugger,设置IDA,如下图

第八步: 设置好了后,打开手机TRK软件连接。

第九步: 在IDA中API函数中下常用断点,后挂接进程如下图:

选择ssl.exe 后,单击OK.

开始调试分析…

 

转载于:https://www.cnblogs.com/xiaojinma/archive/2012/12/19/2825474.html

软件逆向破解入门系列(2)—静态分析利器IDA使用方法及爆破初探
Think88666的博客
07-07 4578
ida,静态分析,破解
使用IDA Pro进行脱壳
武天旭的博客
10-03 3248
APK加固的两种方式:一种是对源APK整体做一个加固,放到指定位置,运行的时候再解密动态加载;还有一种是对so进行加固,在so加载内存的时候进行解密释放。一个APK加固,外面肯定得套一个壳,这个壳必须是自定义的Application类,它需要做一些初始化操作,一般加固的APK壳的Application类都喜欢叫StubApplication。1、查看是否加固首先解压出classes.dex文件,使用dex2jar工具查看Java代码,发现只有一个Application类,所以猜测APK被加壳了。
病毒分析教程第五话--动态调试分析(上)
安全杂货铺
09-05 1384
s
7.2 IDA 破解实例
qq_55202378的博客
08-21 3281
Android逆向 IDA
IDA反编译apk修改数据后重新打包
m0_63790435的博客
11-04 2085
使用ida、il2cppdumper、apktool 对 apk 进行反编译逆向,然后重新打包签名。IL2CPP 方式的打包的apk的逆向方法介绍。补:mono方式打包的exe和apk可以用dfspy、dnspy轻松反编译。
游戏资源破解
sssxueren的专栏
10-10 2509
2001年,从云风那儿得知了IDA这种好东东,看到他在解恺撒的游戏资源,觉得好玩,也开始自己解一些东东,当时一口气解了一些游戏的资源,当然,都不是很复杂的,主要是台湾和日本的 后来在主页上放过一段时间,记得感兴趣的朋友还挺多的,一直没时间说,现在大概聊一下做法吧:)工具当然是IDA+SoftIce,要自己写解压程序的话,还要有习惯的编辑器,我当然是用VC了:)其实,资源破解,并不是
病毒分析教程第九话--使用IDA远程调试
安全杂货铺
12-26 1193
恶意软件为了避免静态检测,通常会动态生成&调用敏感的字符串及系统API,这种情况就无法单纯使用IDA进行分析了,得进行调试动态地获得这些值。而IDA有个远程调试的功能,很实用,我们下面就来学习如何使用IDA进行远程调试样本还是上一章的样本:F834F898969CD65DA702F4B4E3D83DD0 我们首先运行下样本,发现该样本会创建一个新的进程并运行,这个应该是我们上一章提到的病...
动态分析基础:IDA Pro调试器实践
通过IDA Pro调试器,用户可以对程序进行动态调试,监视程序的运行状态,分析代码执行流程,以及发现潜在的漏洞和安全风险。IDA Pro的调试器模块支持多种架构和平台,为安全研究人员提供了强大的工具来解决实际的安全...
linux勒索病毒分析,永恒之蓝的勒索病毒tasksche.exe样本分析
weixin_32103009的博客
05-13 2628
内容:分析病毒结构,写出病毒如何利用漏洞进行攻击,详细剖析勒索病毒的运行过程,使用了什么加密算法,调用了什么系统API。进阶:中了该勒索病毒,怎么恢复数据样本分析首先是看下病毒样本的哈希值图片.png查壳信息,win32程序无壳:图片.png载入IDA后,先查看字符串,看到有RSA和AES,猜测之后会使用这两种加密方式:图片.png用IDA的findcrypto插件,找到了AES算法的特征:图片....
病毒分析教程第十一话 -- 使用IDA内存快照获取函数&变量
安全杂货铺
02-28 1486
样本下载地址: https://www.hybrid-analysis.com/sample/31e8a11960d0492b64241354c567643f09f0e0278658d31e75d6f2362dbfae44/589f6600aac2ed382956ce75?lang=zh
使用IDA的通用解压插件
eqera的专栏
11-29 5184
从4.9版开始,IDA就集成了Universal PE Unpacker通用解压插件,其源代码可以在IDA Pro SDK中找到。这个小教程将会演示如何使用这个插件,并简单介绍其内部工作原理 一个压缩的应用程序 下面是当我们执行这个可执行程序的运行结果: 非常简单的程序,但是,如果我们使用IDA来打开它,会出现下面的警告提示: IDA检测到异常的输入段,并提示我们文件可能被压缩了…
IDA动态调试破解EXE文件与分析APK流程
道阻且长,行则将至
10-11 6508
文章目录前言IDA调试基础1.1 JNI函数转换1.2 快捷键使用1.3 ARM指令集IDA调试APK2.1 IDA调试步骤2.2 Apk调试实例IDA调试EXE3.1 IDA静态分析3.2 IDA动态调试总结 前言 在前一篇文章:JEB动态调试与篡改攻防世界Ph0en1x-100 中介绍了如何借助 JEB 调试工具对 APK 的 smali 源码进行调试分析,本文主要来看如何使用 IDA调试 Android 中的 native 源码,因为现在一些 app,为了安全或者效率问题,会把一些重要的功能放到
IDA动态调试逆向so库(各种坑)
Change the World by Program
03-08 2万+
1.判断APK是否支持debuggble模式  方法一: 通过过APKKiLLer反编译工具查看 ,如果不是在application节点下去修改然后二次打包即可添加指令android:debuggable="true"      方法二 :通过aapt指令去查看aapt list -v -a crackme1_killer.apk工具所在路径由下图所示,这条指令会打印出apk相关信息 2. 搭建
破解工具---ida的认识及使用
l17862868372的博客
05-31 1571
IDA PRO:交互式反汇编器,是典型的递归下降反汇编器 导航条: 蓝色 表示常规的指令函数 黑色 节与节之间的间隙 银白色 数据内容 粉色 表示外部导入符号 暗黄色 表示ida未识别内容 IDA主界面: IDA VIEW三种反汇编视图:文本视图、图表视图、路径视图 HEX VIEW 十六进制窗口 Imports 导入函数窗口 Struceures 结构体窗口 Exports 导出函数窗口 Enums 枚举窗口 Strings 字符串窗口 常用功能及快捷键: 空格
[样本分析初体验] Parite家族感染型病毒
qq_42814021的博客
01-06 3694
样本信息 MD5:b4964c8ac85b1e428c9eefe572237b21 类型:exe32 样本行为 该样本是感染性极强的病毒,属于Parite家族,运行后会释放DLL并将其注入explorer进程,感染本地磁盘和网络磁盘中的exe文件和scr文件。
如何利用IDA反汇编逆向bin文件
热门推荐
一颗偏执的心
06-08 2万+
由于最近学习单片机逆向工程,所以接触一些反汇编工作。接下来简单描述一下如何用IDA反汇编个一个STM32小程序 1、先利用开发板目写一个最简单的LED小程序 2、将工程文件夹的hex文件生成bin文件 (1)可以利用JLINK工具 (2)可以利用keil提供的软件生成   3、打开IDA,NEW新的工程,导入bin文件    (1)   选择芯片类型为ARM,还有个高级选项选
蔓灵花APT
dohxxx的博客
03-21 1101
蔓灵花APT 样本一开始文件名是:Update Required Case Enq No 192_2018.docx.com 样本截图: 用到的方法是文件后缀名欺骗 检查一下加没加壳 该程序应该是由C编写的 加载IDA开始分析,加载的时候可以看到pdb 备注:/PDBPATH 将沿调试器搜索 .pdb 文件的同一路径搜索计算机,并将报告哪些 .pdb 文件(若有)和 filename 中指定的...
ida远程动态调试Linux
苗_的博客
08-19 1670
1 准备 在Linux中准备好linux_server/linux_server64,和待调试的文件 这里32位文件打开linux_server 64位文件打开linux_server64 (其中这两个文件在IDA目录的dbgsrv文件中) 2 启动 (本文以linux_server64进行讲解) 启动linux_server64 ./linux_server64 初次启用在终端输入以下命令 chmod +x linux_server64 成功后会显示: 3 调试器配置 在i.
IDA动态调试快捷键
最新发布
02-10
### IDA Pro 动态调试快捷键 在进行动态调试时,IDA Pro 提供了一系列便捷的快捷键来帮助用户更高效地操作程序。以下是常用的动态调试快捷键列表: | 快捷键 | 描述 | | --- | --- | | `F9` | 开始/继续执行程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值