新西兰天维网社区

标题: 解剖分析并预防恶意主题或软件 [打印本页]
作者: 手机维修    时间: 2010-3-28 15:36:31     标题: 解剖分析并预防恶意主题或软件

诺米们基本都受过插件的暗算吧。

人人都提高警惕,学会辨别的方法,才是王道。

一般的, 点击查看含有『主题』标签的贴子 主题含收费插件较多。所以,我每次安装主题前,都是先把手机改为离线模式。这样,在安装时,假如装了插件,它发短信是绝对不会成功。(但是现在的恶意主题中的程序有预发功能,你一旦接入网络依然会遭遇损失)

安装好主题后,打开Appman,查看线程项,看有没有某线程是安装软件或主题后才运作的。

一般的,后运行的线程就在上面出现,从上往下挨个排查。

正常程序的线程都是程序名,而当你遇见莫名的线程时,按右软键查看其详情。

若发现此线程的程序位置是C:\system\data\或者C:\system\recogs等等,接下来要注意了~~~

例如,发现名为smserv.app的线程项,先查看其详情,了解其程序所在位置,是c:\system\data\smserv.app,接着便用文件管理工具Fileman找到该文件,然后查看其修改日期,一看,是刚刚才装上的,那么,马上着手删除。

常见的有害插件所在位置如下:
c:\system\data\smserv.app  
c:\system\data\smserv.rsc   
c:\system\data\starter.exe   
c:\system\recogs\801009.mdl   
c:\system\data\updater.app  
c:\system\data\updater.rsc   
c:\system\reptm.txt   
c:\system\logs.txt   
C:\system\data\smserv.app   
c:\system\data\Tid.txt

这些,都用文件管理器(如Fileman)到相应地方进行删除。
            
此后,再多观察一下通信记录与发出的信息里,是否仍有短信自动发送,并且清除发件箱中发送失败的短信。


我们也可以用工具来分解它
              
用sisboom工具对每一个主题SIS文件进行解包。
              
还是用Fileman工具,在得到的文件夹里,直接找到含有.mbm和.skn两个文件的子文件夹,然后直接移动到E:/system/skins目录下即可。


对于游戏,有sis和jar两种格式,sis的,可以按照上面两种方法进行安装。
      
如果解压出的文件夹有名为C和E等多个文件夹,要细心了,先打开C,看是否有.app或.rsc文件,有,就要先看清其名称与所安装软件名称是否相符,如果没有与软件名相符的,就直接把C文件夹删掉。但若是.dll,则没事。

注意:这里有些SIS格式的软件例外哦!
      
如果只有名为C的文件夹,比如智能助手,它的程序本身就已经默认了安装路径是c:\system\apps\ ,而它自己也有.app或.rsc的文件。

一般的,无论软件还是游戏,主体都是装在 ! :\System\Apps\ 下的,(!就是表示你安装在哪个盘,安装在手机上就是C,安装在存储卡就是E了。)另外,有的软件(如python平台)或者游戏(如某些NG玩的游戏),会在 ! :\system\libs\安装软件或者游戏需要的补丁。这个要注意了,就别删了。

有插件,其插件文件都会有自己的文件夹的和.app、.rsc等文件的,其名字与你要安装的软件名不符。

拿不定主意的话,结合第一个方法,什么都不删,让手机处于离线状态,安装,然后通过Appman查看有哪些是程序安装后,还没启动程序就在运行的线程。


建议大家都要掌握这个小技巧,避免损失。


补充几个自动发信息的流氓软件的删除方法:


流氓软件分析,流氓软件隐藏性很强,安装某些游戏主题等软件后没有在程序里面找到安装的文件。
安装后自动发送短信的,安装后在长按功能键中除了电话外多了一个不能删除的图标。
流氓软件安装文件中包含,
LOGO.EXE  4252字节
THEMES.DAT 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件,
将这两个文件打入安装包中,并在安装完成后运行logo.exe ,
大多数人可能以为此logo.exe 是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示。
其实这个logo.exe 在后台将themes.dat解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行。
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件。
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息。
因为只是简单的分析,没有分析发送信息的内容和发送给谁。

删除下面的文件应该可以解决自动向外发信息的问题。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
c:\system\data\Tid.txt
e:\logo.exe
另外
1)检查 功能->工具->程序管理 中有没有EzBoot.sis和SMS.sis,有的话删除。
2)如果上述1没有找到的话,利用安装的FILEMAN打开C:\SYSTEM\PROGRAM\EzBOOT,整个文件夹删除。
3)同样找到C:\SYSTEM\APPS\SMS,整个文件夹删除。
如果一次删除不了,关机开机,再删除一次,就OK了。

无招可施时 再格机
作者: 手机维修    时间: 2010-3-28 15:36:58

对于游戏,有sis和jar两种格式,sis的,可以按照上面两种方法进行安装。
      
如果解压出的文件夹有名为C和E等多个文件夹,要细心了,先打开C,看是否有.app或.rsc文件,有,就要先看清其名称与所安装软件名称是否相符,如果没有与软件名相符的,就直接把C文件夹删掉。但若是.dll,则没事。

注意:这里有些SIS格式的软件例外哦!
      
如果只有名为C的文件夹,比如智能助手,它的程序本身就已经默认了安装路径是c:\system\apps\ ,而它自己也有.app或.rsc的文件。

一般的,无论软件还是游戏,主体都是装在 ! :\System\Apps\ 下的,(!就是表示你安装在哪个盘,安装在手机上就是C,安装在存储卡就是E了。)另外,有的软件(如python平台)或者游戏(如某些NG玩的游戏),会在 ! :\system\libs\安装软件或者游戏需要的补丁。这个要注意了,就别删了。

有插件,其插件文件都会有自己的文件夹的和.app、.rsc等文件的,其名字与你要安装的软件名不符。

拿不定主意的话,结合第一个方法,什么都不删,让手机处于离线状态,安装,然后通过Appman查看有哪些是程序安装后,还没启动程序就在运行的线程。


建议大家都要掌握这个小技巧,避免损失。
作者: 手机维修    时间: 2010-3-28 15:37:22

补充几个自动发信息的流氓软件的删除方法:


流氓软件分析,流氓软件隐藏性很强,安装某些游戏主题等软件后没有在程序里面找到安装的文件。
安装后自动发送短信的,安装后在长按功能键中除了电话外多了一个不能删除的图标。
流氓软件安装文件中包含,
LOGO.EXE  4252字节
THEMES.DAT 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件,
将这两个文件打入安装包中,并在安装完成后运行logo.exe ,
大多数人可能以为此logo.exe 是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示。
其实这个logo.exe 在后台将themes.dat解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行。
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件。
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息。
因为只是简单的分析,没有分析发送信息的内容和发送给谁。

删除下面的文件应该可以解决自动向外发信息的问题。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
c:\system\data\Tid.txt
e:\logo.exe
另外
1)检查 功能->工具->程序管理 中有没有EzBoot.sis和SMS.sis,有的话删除。
2)如果上述1没有找到的话,利用安装的FILEMAN打开C:\SYSTEM\PROGRAM\EzBOOT,整个文件夹删除。
3)同样找到C:\SYSTEM\APPS\SMS,整个文件夹删除。
如果一次删除不了,关机开机,再删除一次,就OK了。
作者: leonfish    时间: 2010-3-28 17:14:31

原创不易, 发帖辛苦, 顶你
作者: 手机维修    时间: 2010-3-28 17:18:40

哈哈 不还意思这个是转的...
作者: Anonymous    时间: 2010-3-28 18:16:44

发些适合现有流行机种好的流行软件和游戏上来吧
作者: 手机维修    时间: 2010-3-28 18:18:24

论坛有限制啊没有办法上传啊   斑竹应该呼吁下



欢迎光临 新西兰天维网社区 (http://bbs.skykiwi.com/) Powered by Discuz! X2