Typecho合集站.  留言 关于 记事本 
首页 > TYPECHO > typecho教程 > typecho插件 > typecho主题 > 网站开发 > PHP > Linux > web > 编程 > 个人收藏 > 互联网旧文 > 互联网趣文

[转载]QQ 正在尝试读取你的浏览记录,关于QQ读取Chrome历史记录的澄清

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

AppUtil.dll (有腾讯的数字签名)

SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7

今天看到群里有同学发了一篇v2ex上的帖子(https://www.v2ex.com/t/745030),说QQ会读取Chrome的历史记录,被火绒自定义规则拦截了,本来我是不信的,但是他说他复现了,而且是QQ登录10分钟后才会去访问。

这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。

29299-7q78g06uz9.png

果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。

62837-a1461hah4q5.png

而且时间也是恰到好处的十分钟。

68919-0sdidg682u1o.png

这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。

66110-t3s07rnyb4e.png

受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。

然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?

挂上x32db,动态调试找到位置。

37895-505twvuwzb2.png

然后去IDA里直接反编译出来,如下(位置在AppUtil.dll`中 .text:510EFB98 附近)

16163-4y57yhq84kt.png

这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。

45505-ufnsgtntwmp.png

再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。

结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。

晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。

49234-cnn2kxcxquw.png
43916-u870aa61a0c.png

[card-nav]
[card-nav-item src="https://bbs.pediy.com/thread-265359.htm" title="原文链接" img="https://www.baidu.com/img/baidu_85beaf5496f291521eb75ba38eacbd87.svg" /]
[/card-nav]


发表新评论


本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除
Theme by
夏目贵志, Powered by Typecho | RSS | sitemap