新西兰天维网社区

 找回密码
登录  注册
搜索
热搜: 移民 留学
查看: 366|回复: 6
打印 上一主题 下一主题

[手机相关] 解剖分析并预防恶意主题或软件 [复制链接]

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

升级  0%

UID
132064
热情
30718
人气
31396
主题
150
帖子
65404
精华
5
积分
63891
阅读权限
30
注册时间
2006-11-18

灌水勋章 哈卡一族 10周年纪念

跳转到指定楼层
楼主
发表于 2010-3-28 15:36:31 |只看该作者 |倒序浏览 微信分享
诺米们基本都受过插件的暗算吧。

人人都提高警惕,学会辨别的方法,才是王道。

一般的, 点击查看含有『主题』标签的贴子 主题含收费插件较多。所以,我每次安装主题前,都是先把手机改为离线模式。这样,在安装时,假如装了插件,它发短信是绝对不会成功。(但是现在的恶意主题中的程序有预发功能,你一旦接入网络依然会遭遇损失)

安装好主题后,打开Appman,查看线程项,看有没有某线程是安装软件或主题后才运作的。

一般的,后运行的线程就在上面出现,从上往下挨个排查。

正常程序的线程都是程序名,而当你遇见莫名的线程时,按右软键查看其详情。

若发现此线程的程序位置是C:\system\data\或者C:\system\recogs等等,接下来要注意了~~~

例如,发现名为smserv.app的线程项,先查看其详情,了解其程序所在位置,是c:\system\data\smserv.app,接着便用文件管理工具Fileman找到该文件,然后查看其修改日期,一看,是刚刚才装上的,那么,马上着手删除。

常见的有害插件所在位置如下:
c:\system\data\smserv.app  
c:\system\data\smserv.rsc   
c:\system\data\starter.exe   
c:\system\recogs\801009.mdl   
c:\system\data\updater.app  
c:\system\data\updater.rsc   
c:\system\reptm.txt   
c:\system\logs.txt   
C:\system\data\smserv.app   
c:\system\data\Tid.txt

这些,都用文件管理器(如Fileman)到相应地方进行删除。
            
此后,再多观察一下通信记录与发出的信息里,是否仍有短信自动发送,并且清除发件箱中发送失败的短信。


我们也可以用工具来分解它
              
用sisboom工具对每一个主题SIS文件进行解包。
              
还是用Fileman工具,在得到的文件夹里,直接找到含有.mbm和.skn两个文件的子文件夹,然后直接移动到E:/system/skins目录下即可。


对于游戏,有sis和jar两种格式,sis的,可以按照上面两种方法进行安装。
      
如果解压出的文件夹有名为C和E等多个文件夹,要细心了,先打开C,看是否有.app或.rsc文件,有,就要先看清其名称与所安装软件名称是否相符,如果没有与软件名相符的,就直接把C文件夹删掉。但若是.dll,则没事。

注意:这里有些SIS格式的软件例外哦!
      
如果只有名为C的文件夹,比如智能助手,它的程序本身就已经默认了安装路径是c:\system\apps\ ,而它自己也有.app或.rsc的文件。

一般的,无论软件还是游戏,主体都是装在 ! :\System\Apps\ 下的,(!就是表示你安装在哪个盘,安装在手机上就是C,安装在存储卡就是E了。)另外,有的软件(如python平台)或者游戏(如某些NG玩的游戏),会在 ! :\system\libs\安装软件或者游戏需要的补丁。这个要注意了,就别删了。

有插件,其插件文件都会有自己的文件夹的和.app、.rsc等文件的,其名字与你要安装的软件名不符。

拿不定主意的话,结合第一个方法,什么都不删,让手机处于离线状态,安装,然后通过Appman查看有哪些是程序安装后,还没启动程序就在运行的线程。


建议大家都要掌握这个小技巧,避免损失。


补充几个自动发信息的流氓软件的删除方法:


流氓软件分析,流氓软件隐藏性很强,安装某些游戏主题等软件后没有在程序里面找到安装的文件。
安装后自动发送短信的,安装后在长按功能键中除了电话外多了一个不能删除的图标。
流氓软件安装文件中包含,
LOGO.EXE  4252字节
THEMES.DAT 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件,
将这两个文件打入安装包中,并在安装完成后运行logo.exe ,
大多数人可能以为此logo.exe 是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示。
其实这个logo.exe 在后台将themes.dat解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行。
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件。
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息。
因为只是简单的分析,没有分析发送信息的内容和发送给谁。

删除下面的文件应该可以解决自动向外发信息的问题。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
c:\system\data\Tid.txt
e:\logo.exe
另外
1)检查 功能->工具->程序管理 中有没有EzBoot.sis和SMS.sis,有的话删除。
2)如果上述1没有找到的话,利用安装的FILEMAN打开C:\SYSTEM\PROGRAM\EzBOOT,整个文件夹删除。
3)同样找到C:\SYSTEM\APPS\SMS,整个文件夹删除。
如果一次删除不了,关机开机,再删除一次,就OK了。

无招可施时 再格机
头像包含禁止未经授权的广告

Weiphone(威锋)技术组成员,权威维修iPhone、三星、HTC和其它各大品牌手机手机刷机、刷中文(使用专业仪器,免拆机不影响保修!!!)、解锁、硬件维修和其他各项维修服务。

QQ:403586405 或者TXT到021-1351018有时候忙可能没有办法接电话短信最好 或者打我的电话0800 388 388(座机打过来免费的)或者09-9484112请不要用社区留言和我联系

另收购各式手机无论好的坏的都要

使用道具 举报

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

升级  0%

UID
132064
热情
30718
人气
31396
主题
150
帖子
65404
精华
5
积分
63891
阅读权限
30
注册时间
2006-11-18

灌水勋章 哈卡一族 10周年纪念

沙发
发表于 2010-3-28 15:36:58 |只看该作者 微信分享
对于游戏,有sis和jar两种格式,sis的,可以按照上面两种方法进行安装。
      
如果解压出的文件夹有名为C和E等多个文件夹,要细心了,先打开C,看是否有.app或.rsc文件,有,就要先看清其名称与所安装软件名称是否相符,如果没有与软件名相符的,就直接把C文件夹删掉。但若是.dll,则没事。

注意:这里有些SIS格式的软件例外哦!
      
如果只有名为C的文件夹,比如智能助手,它的程序本身就已经默认了安装路径是c:\system\apps\ ,而它自己也有.app或.rsc的文件。

一般的,无论软件还是游戏,主体都是装在 ! :\System\Apps\ 下的,(!就是表示你安装在哪个盘,安装在手机上就是C,安装在存储卡就是E了。)另外,有的软件(如python平台)或者游戏(如某些NG玩的游戏),会在 ! :\system\libs\安装软件或者游戏需要的补丁。这个要注意了,就别删了。

有插件,其插件文件都会有自己的文件夹的和.app、.rsc等文件的,其名字与你要安装的软件名不符。

拿不定主意的话,结合第一个方法,什么都不删,让手机处于离线状态,安装,然后通过Appman查看有哪些是程序安装后,还没启动程序就在运行的线程。


建议大家都要掌握这个小技巧,避免损失。
头像包含禁止未经授权的广告

Weiphone(威锋)技术组成员,权威维修iPhone、三星、HTC和其它各大品牌手机手机刷机、刷中文(使用专业仪器,免拆机不影响保修!!!)、解锁、硬件维修和其他各项维修服务。

QQ:403586405 或者TXT到021-1351018有时候忙可能没有办法接电话短信最好 或者打我的电话0800 388 388(座机打过来免费的)或者09-9484112请不要用社区留言和我联系

另收购各式手机无论好的坏的都要

使用道具 举报

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

升级  0%

UID
132064
热情
30718
人气
31396
主题
150
帖子
65404
精华
5
积分
63891
阅读权限
30
注册时间
2006-11-18

灌水勋章 哈卡一族 10周年纪念

板凳
发表于 2010-3-28 15:37:22 |只看该作者 微信分享
补充几个自动发信息的流氓软件的删除方法:


流氓软件分析,流氓软件隐藏性很强,安装某些游戏主题等软件后没有在程序里面找到安装的文件。
安装后自动发送短信的,安装后在长按功能键中除了电话外多了一个不能删除的图标。
流氓软件安装文件中包含,
LOGO.EXE  4252字节
THEMES.DAT 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件,
将这两个文件打入安装包中,并在安装完成后运行logo.exe ,
大多数人可能以为此logo.exe 是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示。
其实这个logo.exe 在后台将themes.dat解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行。
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件。
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息。
因为只是简单的分析,没有分析发送信息的内容和发送给谁。

删除下面的文件应该可以解决自动向外发信息的问题。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
c:\system\data\Tid.txt
e:\logo.exe
另外
1)检查 功能->工具->程序管理 中有没有EzBoot.sis和SMS.sis,有的话删除。
2)如果上述1没有找到的话,利用安装的FILEMAN打开C:\SYSTEM\PROGRAM\EzBOOT,整个文件夹删除。
3)同样找到C:\SYSTEM\APPS\SMS,整个文件夹删除。
如果一次删除不了,关机开机,再删除一次,就OK了。
头像包含禁止未经授权的广告

Weiphone(威锋)技术组成员,权威维修iPhone、三星、HTC和其它各大品牌手机手机刷机、刷中文(使用专业仪器,免拆机不影响保修!!!)、解锁、硬件维修和其他各项维修服务。

QQ:403586405 或者TXT到021-1351018有时候忙可能没有办法接电话短信最好 或者打我的电话0800 388 388(座机打过来免费的)或者09-9484112请不要用社区留言和我联系

另收购各式手机无论好的坏的都要

使用道具 举报

Rank: 10Rank: 10Rank: 10

升级  82.67%

UID
54584
热情
1455
人气
2708
主题
42
帖子
2150
精华
7
积分
3240
阅读权限
30
注册时间
2005-10-31
地板
发表于 2010-3-28 17:14:31 |只看该作者 微信分享
原创不易, 发帖辛苦, 顶你

使用道具 举报

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

升级  0%

UID
132064
热情
30718
人气
31396
主题
150
帖子
65404
精华
5
积分
63891
阅读权限
30
注册时间
2006-11-18

灌水勋章 哈卡一族 10周年纪念

5#分享本帖地址
发表于 2010-3-28 17:18:40 |只看该作者 微信分享
哈哈 不还意思这个是转的...
头像包含禁止未经授权的广告

Weiphone(威锋)技术组成员,权威维修iPhone、三星、HTC和其它各大品牌手机手机刷机、刷中文(使用专业仪器,免拆机不影响保修!!!)、解锁、硬件维修和其他各项维修服务。

QQ:403586405 或者TXT到021-1351018有时候忙可能没有办法接电话短信最好 或者打我的电话0800 388 388(座机打过来免费的)或者09-9484112请不要用社区留言和我联系

另收购各式手机无论好的坏的都要

使用道具 举报

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

升级  0%

UID
41844
热情
48402
人气
50333
主题
92
帖子
63917
精华
1
积分
81437
阅读权限
30
注册时间
2005-7-1

懒人勋章 新时政 元老勋章 猪猪勋章 财富勋章 灌水勋章 勤奋勋章 哈卡一族 10周年纪念 危险人物

6#分享本帖地址
发表于 2010-3-28 18:16:44 |只看该作者 微信分享
发些适合现有流行机种好的流行软件和游戏上来吧
The content is only for the use of the individual named above and may contain privileged information. Any dissemination, distribution or copying of it is strictly prohibited. All rights reserved.

使用道具 举报

Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

升级  0%

UID
132064
热情
30718
人气
31396
主题
150
帖子
65404
精华
5
积分
63891
阅读权限
30
注册时间
2006-11-18

灌水勋章 哈卡一族 10周年纪念

7#分享本帖地址
发表于 2010-3-28 18:18:24 |只看该作者 微信分享
论坛有限制啊没有办法上传啊   斑竹应该呼吁下
头像包含禁止未经授权的广告

Weiphone(威锋)技术组成员,权威维修iPhone、三星、HTC和其它各大品牌手机手机刷机、刷中文(使用专业仪器,免拆机不影响保修!!!)、解锁、硬件维修和其他各项维修服务。

QQ:403586405 或者TXT到021-1351018有时候忙可能没有办法接电话短信最好 或者打我的电话0800 388 388(座机打过来免费的)或者09-9484112请不要用社区留言和我联系

另收购各式手机无论好的坏的都要

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

手机版| 联系论坛客服| 广告服务| 招贤纳士| 新西兰天维网

GMT+13, 2024-11-26 11:43 , Processed in 0.017582 second(s), 15 queries .

Powered by Discuz! X2 Licensed

Copyright 2001- Sky Media Limited, All Rights Reserved.

回顶部