教大家学会解剖分析并预防恶意主题或软件
[b][size=5][color=blue]诺米们基本都受过插件的暗算吧。[/color][/size][/b]
[size=5][color=blue][b]人人都提高警惕,学会辨别的方法,才是王道。
一般的,主题含收费插件较多。所以,我每次安装主题前,都是先把手机改为离线模式。这样,在安装时,假如装了插件,它发短信是绝对不会成功。(但是现在的恶意主题中的程序有预发功能,你一旦接入网络依然会遭遇损失)
[/b][/color][/size][size=5][color=blue][b]安装好主题后,打开Appman,查看线程项,看有没有某线程是安装软件或主题后才运作的。
[/b][/color][/size][size=5][color=blue][b]一般的,后运行的线程就在上面出现,从上往下挨个排查。
[/b][/color][/size][size=5][color=blue][b]正常程序的线程都是程序名,而当你遇见莫名的线程时,按右软键查看其详情。
[/b][/color][/size][size=5][color=blue][b]若发现此线程的程序位置是C:\system\data\或者C:\system\recogs等等,接下来要注意了~~~
例如,发现名为smserv.app的线程项,先查看其详情,了解其程序所在位置,是c:\system\data\smserv.app,接着便用文件管理工具Fileman找到该文件,然后查看其修改日期,一看,是刚刚才装上的,那么,马上着手删除。
常见的有害插件所在位置如下:
[/b][/color][/size][size=5][color=blue][b]c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
[/b][/color][/size][size=5][color=blue][b]这些,都用文件管理器(如Fileman)到相应地方进行删除。
[/b]
[/color][/size][size=5][color=blue][b]此后,再多观察一下通信记录与发出的信息里,是否仍有短信自动发送,并且清除发件箱中发送失败的短信。
我们也可以用工具来分解它
[/b]
[/color][/size][size=5][color=blue][b]用sisboom工具对每一个主题SIS文件进行解包。
[/b]
[/color][/size][b][size=5][color=blue]还是用Fileman工具,在得到的文件夹里,直接找到含有.mbm和.skn两个文件的子文件夹,然后直接移动到E:/system/skins目录下即可。
[/color][color=red]主题解剖分析的详细图解请看月光版主的这个帖子:[/color][/size][url=http://www.nokiabbs.com/thread-407662-1-1.html][size=5][color=red]http://www.nokiabbs.com/thread-407662-1-1.html[/color][/size][/url][size=5][color=blue] 或[url=http://www.nokiabbs.com/viewthread.php?tid=479704&page=1&extra=page%3D1][color=red]http://www.nokiabbs.com/viewthread.php?tid=479704&page=1&extra=page%3D1[/color][/url] [/color][/size][/b]
[size=5][color=blue][b]对于游戏,有sis和jar两种格式,sis的,可以按照上面两种方法进行安装。
[/b]
[/color][/size][size=5][color=blue][b]如果解压出的文件夹有名为C和E等多个文件夹,要细心了,先打开C,看是否有.app或.rsc文件,有,就要先看清其名称与所安装软件名称是否相符,如果没有与软件名相符的,就直接把C文件夹删掉。但若是.dll,则没事。
注意:这里有些SIS格式的软件例外哦!
[/b]
[/color][/size][size=5][color=blue][b]如果只有名为C的文件夹,比如智能助手,它的程序本身就已经默认了安装路径是c:\system\apps\ ,而它自己也有.app或.rsc的文件。
一般的,无论软件还是游戏,主体都是装在 ! :\System\Apps\ 下的,(!就是表示你安装在哪个盘,安装在手机上就是C,安装在存储卡就是E了。)另外,有的软件(如python平台)或者游戏(如某些NG玩的游戏),会在 ! :\system\libs\安装软件或者游戏需要的补丁。这个要注意了,就别删了。
有插件,其插件文件都会有自己的文件夹的和.app、.rsc等文件的,其名字与你要安装的软件名不符。
拿不定主意的话,结合第一个方法,什么都不删,让手机处于离线状态,安装,然后通过Appman查看有哪些是程序安装后,还没启动程序就在运行的线程。
[/b]
[/color][/size][b][color=silver][size=5][color=blue]建议大家都要掌握这个小技巧,避免损失。[/color][/size][/color][/b]
[b][color=silver][size=5][color=#0000ff][/color][/size][/color][/b]
[b][color=silver][size=5][color=#0000ff][/color][/size][/color][/b]
[b][size=5][color=red]补充几个自动发信息的流氓软件的删除方法:[/color][/size][/b]
[b][color=silver][size=5][color=#0000ff][/color][/size][/color][/b]
[b][color=silver][size=5][color=#0000ff][/color][/size][/color][/b]
[color=silver][size=5][font=微软雅黑][color=blue][b]流氓软件分析,流氓软件隐藏性很强,安装某些游戏主题等软件后没有在程序里面找到安装的文件。
安装后自动发送短信的,安装后在长按功能键中除了电话外多了一个不能删除的图标。
流氓软件安装文件中包含,
LOGO.EXE 4252字节
THEMES.DAT 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件,
将这两个文件打入安装包中,并在安装完成后运行logo.exe ,
大多数人可能以为此logo.exe 是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示。
其实这个logo.exe 在后台将themes.dat解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行。
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件。
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息。
因为只是简单的分析,没有分析发送信息的内容和发送给谁。
删除下面的文件应该可以解决自动向外发信息的问题。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
c:\system\data\Tid.txt
e:\logo.exe
另外
[color=red]1)[/color]检查 功能->工具->程序管理 中有没有EzBoot.sis和SMS.sis,有的话删除。
[color=red]2)[/color]如果上述1没有找到的话,利用安装的FILEMAN打开C:\SYSTEM\PROGRAM\EzBOOT,整个文件夹删除。
[color=red]3)[/color]同样找到C:\SYSTEM\APPS\SMS,整个文件夹删除。
如果一次删除不了,关机开机,再删除一次,就OK了。
[color=red]无招可施时 再格机[/color][/b][/color][/font][/size]
[size=1]
[/size]
[/color]
[[i] 本帖最后由 13678832323 于 2008-7-18 02:05 编辑 [/i]] 迷失费心了!
这个帖子对大家很有帮助,希望广大诺米朋友好好学习一下,不要再受损失!
[[i] 本帖最后由 恶狼 于 2008-6-17 06:01 编辑 [/i]] :yc (18)yc 字体太小了,弄大点吧
辛苦了
回复 楼主 的帖子
含插件的主题或软件被删除之后,其恶意短信还能不能继续发送啊? [quote]原帖由 [i]lmb2513[/i] 于 2008-6-17 13:00 发表 [url=http://www.nokiabbs.com/redirect.php?goto=findpost&pid=8708426&ptid=463430][img]http://www.nokiabbs.com/images/common/back.gif[/img][/url]含插件的主题或软件被删除之后,其恶意短信还能不能继续发送啊? [/quote]、
当线程被结束之后 恶意程序就停止运行了 预发功能自然也就取消了 好帖~! 支持一下!~ 迷失很用功,支持啦 迷失辛苦了啊 感谢分享!!!
辛苦!!
回复 5楼 的帖子
什么是线程呀,你说的那个什么app是什么东西,我在我的手机里怎么没见过呀,我就是上当了,话费都被扣光了,,手机都停机了。也不知他们为什么不提醒要收费的。 [quote]原帖由 [i]清幽书斋[/i] 于 2008-6-17 20:37 发表 [url=http://www.nokiabbs.com/redirect.php?goto=findpost&pid=8711905&ptid=463430][img]http://www.nokiabbs.com/images/common/back.gif[/img][/url]什么是线程呀,你说的那个什么app是什么东西,我在我的手机里怎么没见过呀,我就是上当了,话费都被扣光了,,手机都停机了。也不知他们为什么不提醒要收费的。 [/quote]
APPMAN是一款第三方的程序管理软件 功能很强大 属于装机必备的软件 你利用论坛搜索功能 就可以搜到了 安装到手机上即可! 写得不错啊,继续努力:yc (3)yc :yc (3)yc 真的很实在~~太有用了咯~~~~~~~~迷失真的时刻想着我们哦~~~真的感谢你咯!! 太专业了,可我感觉比较麻烦,还是谢谢了。。。 appman和瑞星占内存,后来我都删了,手机运行还较正常。。。我怕影响手机运行速度。有影响吗? :P 不错不错 感谢迷失 辛苦啦 [quote]原帖由 [i]rainbamboo8849[/i] 于 2008-6-18 10:58 发表 [url=http://www.nokiabbs.com/redirect.php?goto=findpost&pid=8715403&ptid=463430][img]http://www.nokiabbs.com/images/common/back.gif[/img][/url]
appman和瑞星占内存,后来我都删了,手机运行还较正常。。。我怕影响手机运行速度。有影响吗? [/quote]
瑞星确实会影响运行速度 尤其上网 但是我没发现APPMAN影响速度 你可以放心安装 这是必备工具 不错!
真是用心啊!
感谢迷失!! 不错!
真是用心啊!
感谢迷失!! 楼主说是说得详细,但就是怕误删了程序,用不了,还不得重装,现在的流氓什么都干得出来,防不胜防呀,最好就是给人鱼不如教人渔鱼>