教大家学会解剖分析并预防恶意主题或软件(申精顶置) - 诺基亚7610论坛 - 塞班智能手机论坛-Symbian系统智能手机中文论坛

排长

UID 2969572
精华 0
积分 287
帖子 287
威望 0 点
财富值 384 塞班币
贡献值 0 点
好评度 2 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2008-2-13
手机型号 7610-N95
来自广东惠州
状态离线

#1

大中

只看楼主使用道具

发表于 2008-8-3 15:47 资料个人空间短消息加为好友

教大家学会解剖分析并预防恶意主题或软件(申精顶置)

7610的友友基本都受过插件的暗算吧。

人人都提高警惕，学会辨别的方法，才是王道。

一般的，主题含收费插件较多。所以，我每次安装主题前，都是先把手机改为离线模式。这样，在安装时，假如装了插件，它发短信是绝对不会成功。（但是现在的恶意主题中的程序有预发功能，你一旦接入网络依然会遭遇损失）

安装好主题后，打开Appman，查看线程项，看有没有某线程是安装软件或主题后才运作的。

一般的，后运行的线程就在上面出现，从上往下挨个排查。

正常程序的线程都是程序名，而当你遇见莫名的线程时，按右软键查看其详情。

若发现此线程的程序位置是C:\system\data\或者C:\system\recogs等等，接下来要注意了~~~

例如，发现名为smserv.app的线程项，先查看其详情，了解其程序所在位置，是c:\system\data\smserv.app，接着便用文件管理工具Fileman找到该文件，然后查看其修改日期，一看，是刚刚才装上的，那么，马上着手删除。

常见的有害插件所在位置如下：
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt

这些，都用文件管理器（如Fileman）到相应地方进行删除。

此后，再多观察一下通信记录与发出的信息里，是否仍有短信自动发送，并且清除发件箱中发送失败的短信。

我们也可以用工具来分解它

用sisboom工具对每一个主题SIS文件进行解包。

还是用Fileman工具，在得到的文件夹里，直接找到含有.mbm和.skn两个文件的子文件夹，然后直接移动到E:/system/skins目录下即可。



对于游戏，有sis和jar两种格式，sis的，可以按照上面两种方法进行安装。

如果解压出的文件夹有名为C和E等多个文件夹，要细心了，先打开C，看是否有.app或.rsc文件，有，就要先看清其名称与所安装软件名称是否相符，如果没有与软件名相符的，就直接把C文件夹删掉。但若是.dll，则没事。

注意:这里有些SIS格式的软件例外哦！

如果只有名为C的文件夹，比如智能助手，它的程序本身就已经默认了安装路径是c:\system\apps\ ，而它自己也有.app或.rsc的文件。

一般的，无论软件还是游戏，主体都是装在 ! :\System\Apps\ 下的，（！就是表示你安装在哪个盘，安装在手机上就是C，安装在存储卡就是E了。）另外，有的软件（如python平台）或者游戏（如某些NG玩的游戏），会在 ! :\system\libs\安装软件或者游戏需要的补丁。这个要注意了，就别删了。

有插件，其插件文件都会有自己的文件夹的和.app、.rsc等文件的，其名字与你要安装的软件名不符。

拿不定主意的话，结合第一个方法，什么都不删，让手机处于离线状态，安装，然后通过Appman查看有哪些是程序安装后，还没启动程序就在运行的线程。

建议大家都要掌握这个小技巧，避免损失。

补充几个自动发信息的流氓软件的删除方法：

流氓软件分析，流氓软件隐藏性很强，安装某些游戏主题等软件后没有在程序里面找到安装的文件。
安装后自动发送短信的，安装后在长按功能键中除了电话外多了一个不能删除的图标。
流氓软件安装文件中包含，
LOGO.EXE  4252字节
THEMES.DAT 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件，
将这两个文件打入安装包中，并在安装完成后运行logo.exe ，
大多数人可能以为此logo.exe 是一个类似于BINPDA.EXE的显示图像，
但是你会在运行后发现什么也没有显示。
其实这个logo.exe 在后台将themes.dat解包，这个文件是个ZIP格式的文件。
里面包含6个文件，
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行。
其他5个文件会保存到c:\system\data\下面，当程序运行后还会生成一些**文件。
流氓软件运行方式，手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序，并启动它。
801009.mdl会调用starter.exe来运行一个后台进程，
starter.exe会调用smserv.app来自动发送信息。
因为只是简单的分析，没有分析发送信息的内容和发送给谁。

删除下面的文件应该可以解决自动向外发信息的问题。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
c:\system\data\Tid.txt
e:\logo.exe
另外
１）检查功能->工具->程序管理中有没有EzBoot.sis和SMS.sis，有的话删除。
２）如果上述1没有找到的话，利用安装的FILEMAN打开C:\SYSTEM\PROGRAM\EzBOOT，整个文件夹删除。
３）同样找到C:\SYSTEM\APPS\SMS，整个文件夹删除。
如果一次删除不了，关机开机，再删除一次，就OK了。

无招可施时再格机

[ 本帖最后由死神¤微笑于 2008-8-3 16:01 编辑 ]

本帖最近评分记录

西红柿蛋汤

2008-8-3 16:17

财富值

+5

支持原创

@>>-->-潶絔℡ｄé贳堺囿誰浍記锝ㄨ↘ωσ↙啲洊在莪皁ｙǐ被遺棄╄→じòぴé

死神¤微笑

排长

UID 2969572
精华 0
积分 287
帖子 287
威望 0 点
财富值 384 塞班币
贡献值 0 点
好评度 2 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2008-2-13
手机型号 7610-N95
来自广东惠州
状态离线

#2

大中

只看楼主使用道具

发表于 2008-8-3 15:59 资料个人空间短消息加为好友

顶啊辛苦咯一下午

@>>-->-潶絔℡ｄé贳堺囿誰浍記锝ㄨ↘ωσ↙啲洊在莪皁ｙǐ被遺棄╄→じòぴé

西红柿蛋汤 (纯表情杀之...)

高级评论员

2版区忽悠...

UID 759096
精华 0
积分 5279
帖子 5279
威望 2 点
财富值 2299 塞班币
贡献值 0 点
好评度 6 点
交易信用 0 点
线下活跃度 0 点
阅读权限 90
注册 2006-12-18
手机型号 7610 n93i
来自安徽-固镇
状态离线

#3

大中

使用道具

发表于 2008-8-3 16:18 资料个人空间主页短消息加为好友

码字辛苦…

帮你顶上去…

学习了

海一笑

团长

UID 483530
精华 0
积分 830
帖子 830
威望 1 点
财富值 930 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 30
注册 2006-10-3
手机型号
状态离线

#4

大中

使用道具

发表于 2008-8-3 19:43 资料个人空间短消息加为好友

顶了

免费下载手机杀毒软件！

壊孩耔

团长

给我一个姑娘我能创造一个世界

UID 4030132
精华 0
积分 924
帖子 924
威望 0 点
财富值 1027 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 30
注册 2008-6-1
手机型号 nokia-7610
来自河北-石家莊
状态离线

#5

大中

使用道具

发表于 2008-8-3 19:47 资料个人空间短消息加为好友

精品文章

xiequnfeng

班长

UID 4248617
精华 0
积分 75
帖子 75
威望 0 点
财富值 84 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2008-6-23
手机型号
状态离线

#6

大中

使用道具

发表于 2008-8-3 20:37 资料个人空间短消息加为好友

辛苦。顶。。。

yipdu

旅长

一山不容二虎,除非一公一母

UID 2119741
精华 0
积分 1216
帖子 1216
威望 0 点
财富值 1257 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 35
注册 2007-10-21
手机型号 7610
来自山东泰安
状态离线

#7

大中

使用道具

发表于 2008-8-4 08:46 资料个人空间短消息加为好友

需要慢慢的研究

466400

排长

UID 673884
精华 0
积分 169
帖子 169
威望 1 点
财富值 174 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2006-11-20
手机型号 7610
来自吉林
状态离线

#8

大中

使用道具

发表于 2008-8-4 09:25 资料个人空间短消息加为好友

hao!!!!!!!!!!

我的快乐至上!!!

ltony

营长

UID 308750
精华 0
积分 647
帖子 647
威望 1 点
财富值 676 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 25
注册 2006-7-15
手机型号 7610
状态离线

#9

大中

使用道具

发表于 2008-8-4 10:51 资料个人空间短消息加为好友

感谢分享！

yunnan2008cn

班长

UID 2889308
精华 0
积分 57
帖子 57
威望 0 点
财富值 62 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2008-2-2
手机型号
状态离线

#10

大中

使用道具

发表于 2008-8-4 12:29 资料个人空间短消息加为好友

谢谢你，辛苦了！

b25921

团长

好东西就下,不中意也顶,顶完 ...

UID 2008212
精华 0
积分 1011
帖子 1011
威望 0 点
财富值 1106 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 30
注册 2007-10-7
手机型号 7610
状态离线

#11

大中

使用道具

发表于 2008-8-4 12:42 资料个人空间短消息加为好友

精品啊
顶了
狂顶

随便走走，看帖必回！

dellcom

班长

UID 301692
精华 0
积分 66
帖子 66
威望 1 点
财富值 70 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2006-7-11
手机型号 N7610&N96
来自 TOYOTA
状态离线

#12

大中

使用道具

发表于 2008-8-4 12:56 资料个人空间短消息加为好友

感谢分享！

木卜三寿

营长

UID 1455353
精华 0
积分 739
帖子 739
威望 0 点
财富值 787 塞班币
贡献值 0 点
好评度 1 点
交易信用 0 点
线下活跃度 0 点
阅读权限 25
注册 2007-7-9
手机型号
来自河北
状态离线

#13

大中

使用道具

发表于 2008-8-4 14:29 资料个人空间短消息加为好友

感谢分享学习了

风无影，水无痕！

qw46605674

士兵

UID 4010233
精华 0
积分 7
帖子 7
威望 0 点
财富值 7 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 5
注册 2008-5-30
手机型号
状态离线

#14

大中

使用道具

发表于 2008-8-4 17:50 资料个人空间短消息加为好友

k329570596

班长

UID 3248733
精华 0
积分 83
帖子 83
威望 0 点
财富值 84 塞班币
贡献值 0 点
好评度 0 点
交易信用 0 点
线下活跃度 0 点
阅读权限 10
注册 2008-3-12
手机型号 7610
来自辽宁大连
状态离线

#15

大中

使用道具

发表于 2008-8-5 16:19 资料个人空间短消息加为好友

谢谢楼主