被99tk诱导下载后怎么办？手机自检的6个步骤：先把证据留好

被99tk诱导下载后怎么办？手机自检的6个步骤：先把证据留好

如果你或身边的人被“99tk”之类的链接或广告诱导下载了应用，不要慌。先把证据保留下来，再按步骤自检与止损。下面是一套实用、可操作的六步流程，适用于大多数安卓手机（iPhone流程类似、细节不同），既能保护个人账户与资金，又能为后续投诉或报警留证据。

引导原则：不立刻乱重置或删除关键证据，先记录信息；若需要修改密码等敏感操作，请换用另一台安全设备。

步骤一：立即断网并保留“现场”

• 立刻关闭手机的移动数据和Wi‑Fi，或切换到飞行模式。这样可以阻断攻击者的远程操作或数据上传。
• 不要卸载或清除该应用，也不要在该手机上登陆重要账号（银行、邮箱、支付工具）。
• 用另一台设备拍照或用屏幕录制功能（若用录屏注意时间戳）保存以下内容：应用界面、安装来源页面（下载页面或网页）、安装提示、权限请求页面、收到的短信/推送通知、任何付费或验证页面。
• 保存与诱导下载相关的原始链接、短信/聊天记录和截图，记录接触时间与对方信息（电话号码、QQ号、公众号名等）。

步骤二：采集应用与设备基本信息（便于取证）

• 在手机“设置 → 应用”里找到该应用，截取应用信息页面（包名、版本、安装时间、应用大小）。安卓包名通常像 com.xxx.yyy。
• 如果会用电脑和ADB，可以导出APK并计算哈希：
• 列出包名：adb shell pm list packages | grep 99tk（示例）
• 导出APK：adb shell pm path <包名> → adb pull
• 生成哈希（在电脑上）：sha256sum app.apk 或 md5sum app.apk
• 这些哈希、包名、APK文件能作为技术证据，便于安全厂商或执法机构鉴定。

步骤三：检查并撤销危险权限与设备管理权

• 到“设置 → 权限”查看该应用申请的权限：短信、拨打电话、读取联系人、使用无障碍服务、设备管理器（Device admin）等。截图并逐项记录。
• 若应用被设为设备管理员或开启了无障碍服务，先在设置中撤销这些权限（设备管理员要先取消管理权限才能卸载）。截图撤销前后的状态。
• 不建议先删除应用，除非你已经备份了所有证据（截图、APK、日志）。

步骤四：安全检查与杀毒（先采集证据后执行）

• 在保留证据后，可以开启手机的安全扫描：Google Play Protect、或信任的移动杀毒软件（如Malwarebytes、ESET、360等）进行一次全面扫描并保存扫描报告截图。
• 尝试把手机重启到安全模式（多数Android机型开机时长按“关机”选项），在安全模式下卸载可疑应用（若能安全卸载，记得保存卸载前后的截图）。
• 如果怀疑深度植入（持续弹窗、后台流量异常、无法卸载、root被篡改），考虑备份重要数据后恢复出厂或刷机，但先向专业人员备份并保留证据副本。

步骤五：紧急处理账号与资金风险

• 在另一台可信设备上（不要用可能被监控的手机）更改重要账号密码：邮箱、支付账户、网银、社交平台。优先启用或强化两步验证（2FA）。
• 检查银行、支付工具的最近交易记录，如有异常立刻联系银行或支付平台冻结账户或挂失卡片。保存所有交易流水截图与客服沟通记录。
• 同时联系手机运营商，说明可能存在SIM风险，请求防止SIM换绑或开通短信转发等敏感操作。

步骤六：报案、投诉与求助（把证据交给专业机构）

• 向应用市场（如Google Play或第三方应用商店）举报该应用，提交包名、APK哈希、截图、下载页面链接。
• 向银行/支付平台提交交易争议材料（包含截图、时间、对方信息）。
• 如果涉及骗财或信息泄露，应向当地公安机关报警：提交时间轴、截图、APK文件、哈希值、交易凭证、短信/聊天记录等。保留报警回执。
• 可联系手机厂商客服或专业数据恢复/取证公司进行进一步技术检测（必要时付费鉴定）。
• 在社交平台或论坛公布经历时，避免泄露更多敏感个人信息；只共享有助于提醒他人的信息（比如下载渠道、诱导话术、包名）。

简明自检清单（方便打印或保存）

• 已断网并拍照/录屏现场 ✔
• 导出应用信息（包名、版本、安装时间）并截图 ✔
• 导出APK并计算哈希（可选但推荐） ✔
• 撤销设备管理与无障碍权限并截图 ✔
• 使用安全软件扫描并保存报告 ✔
• 在安全设备上修改密码并启用2FA ✔
• 联系银行/运营商并保存沟通记录 ✔
• 向应用市场、平台和公安报案并备份回执 ✔