首页
社区
课程
招聘
[原创]关于QQ读取Chrome历史记录的澄清
发表于: 2021-1-16 16:16 383927

[原创]关于QQ读取Chrome历史记录的澄清

2021-1-16 16:16
383927

今天看到群里有同学发了一篇v2ex上的帖子(075K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3x3X3g2^5i4K6u0W2j5$3!0E0i4K6u0r3N6q4)9J5c8U0M7@1y4e0l9K6x3l9`.`.),说QQ会读取Chrome的历史记录,被火绒自定义规则拦截了,本来我是不信的,但是他说他复现了,而且是QQ登录10分钟后才会去访问。

这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。


果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。


而且时间也是恰到好处的十分钟。


这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。


受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。

然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?

挂上x32dbg,动态调试找到位置。


然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)


这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。


再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。

结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。

晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。

图片描述


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-1-16 22:58 被qwqdanchun编辑 ,原因: 补充TIM
收藏
免费 34
支持
分享
最新回复 (93)
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
2
澄清这个词用的好啊,哈哈哈
2021-1-16 19:11
1
雪    币: 12871
活跃值: (9327)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
3
你懂不懂什么叫《大 数 据》啊!
2021-1-16 19:38
1
雪    币: 1556
活跃值: (2332)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
hzqst 你懂不懂什么叫《大 数 据》啊!

gg,看小黄片和看gayhub和谐内容被tx看的清清楚楚


这个教训也告诉我们:事实证明r3取证或者不用阴间api取证,加上没有一个好的anti-debug是多么愚蠢的操作

最后于 2021-1-16 21:20 被killleer编辑 ,原因:
2021-1-16 20:58
0
雪    币: 1556
活跃值: (2332)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
hzqst 你懂不懂什么叫《大 数 据》啊!

还有,火绒hips永远滴神


期待下次出一个bypass huorong hips的取证

最后于 2021-1-16 21:21 被killleer编辑 ,原因:
2021-1-16 20:59
0
雪    币: 220
活跃值: (851)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6

TIM 也有这个行为么?

最后于 2021-1-16 21:01 被dayang编辑 ,原因:
2021-1-16 21:01
0
雪    币: 5841
活跃值: (3991)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
dayang TIM 也有这个行为么?

TIM没有试,有兴趣的可以趁着电脑开机,挂上TIM和procmon等着看


晚上来编辑一下,TIM也有

最后于 2021-1-16 22:58 被qwqdanchun编辑 ,原因:
2021-1-16 21:26
0
雪    币: 5841
活跃值: (3991)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
killleer hzqst 你懂不懂什么叫《大 数 据》啊! gg,看小黄片和看gayhub和谐内容被tx看的清清楚楚这个教训也告诉我们:事实证明r3取证或者不用阴间api取证 ...
事实证明,不止没有anti-debug,而且字符串都是明文可以搜到的
2021-1-16 21:27
0
雪    币: 6171
活跃值: (2068)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
9
lz上个dll的样本或者给个hash值?PC QQ丢ida里没看到这块逻辑,不是不相信,是想看看他那这些数据干什么了
2021-1-16 21:44
0
雪    币: 5841
活跃值: (3991)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
10
月落之汀 lz上个dll的样本或者给个hash值?PC QQ丢ida里没看到这块逻辑,不是不相信,是想看看他那这些数据干什么了
354K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3K9h3I4W2i4K6u0W2M7i4N6I4k6r3q4F1j5$3S2#2L8W2)9J5k6h3y4G2L8g2)9J5c8W2c8W2L8i4m8Q4x3V1k6m8M7s2m8g2N6r3W2D9i4K6u0W2k6r3I4D9i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1#2i4@1t1H3i4@1t1I4i4@1f1#2i4K6W2o6i4@1p5^5M7i4q4Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0S2Q4b7e0y4Q4z5o6g2Q4c8e0N6Q4z5f1u0Q4b7f1g2Q4c8e0g2Q4b7V1c8Q4z5e0g2Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8f1k6Q4b7V1y4Q4z5p5y4u0c8p5q4Q4c8e0W2Q4z5o6N6Q4z5p5y4Q4c8e0N6Q4z5f1u0Q4b7U0c8Q4c8e0k6Q4z5p5g2Q4b7e0g2Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0u0Q4z5o6m8Q4z5f1y4Q4x3X3g2@1k6i4S2@1i4K6y4m8y4e0p5H3c8f1k6n7z5e0S2Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0W2Q4z5e0W2Q4z5o6c8Q4c8e0S2Q4b7V1k6Q4z5e0q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0k6Q4c8e0S2Q4z5o6m8Q4z5o6g2Q4c8e0k6Q4z5e0m8Q4z5f1y4Q4c8e0N6Q4b7U0c8Q4b7e0u0Q4c8e0u0Q4z5o6m8Q4z5f1y4g2M7$3g2J5i4K6t1$3L8X3u0K6M7q4)9K6b7V1c8S2N6r3q4Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0g2Q4z5f1u0Q4b7V1g2Q4c8e0N6Q4z5o6W2Q4z5o6N6Q4c8e0c8Q4b7V1c8Q4z5p5c8Q4c8e0N6Q4b7V1c8Q4b7f1f1`.
2021-1-16 21:56
0
雪    币: 3049
活跃值: (2142)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
11
建议QQ重来
2021-1-16 23:00
0
雪    币: 6171
活跃值: (2068)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
12
qwqdanchun cfaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3K9h3I4W2i4K6u0W2M7i4N6I4k6r3q4F1j5$3S2#2L8W2)9J5k6h3y4G2L8g2)9J5c8W2c8W2L8i4m8Q4x3V1k6m8M7s2m8g2N6r3W2D9i4K6u0W2k6r3I4D9 就在qq安装目录就可以找到,IDA里直接看“.text:510EFB98”附近,或者搜索“User Dat ...
得,局域网开个主机只跑这垃圾软件吧,太强了,不愧是tx。
顺便我PCQQ 9.4.1的DLL跟你发的不一样,搜字符串也没这个逻辑,看起来锁定这个版本,废掉qqprotect是当务之急
2021-1-16 23:54
0
雪    币: 2545
活跃值: (3404)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13

广告位招租

最后于 2021-1-18 14:11 被boursonjane编辑 ,原因:
2021-1-17 00:09
0
雪    币: 5841
活跃值: (3991)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
月落之汀 得,局域网开个主机只跑这垃圾软件吧,太强了,不愧是tx。 顺便我PCQQ 9.4.1的DLL跟你发的不一样,搜字符串也没这个逻辑,看起来锁定这个版本,废掉qqprotect是当务之急
我用的是QQ9.4.2(27662),TIM是官网最新版.
刚找了9.4.1的发现是有的,如果你没有找到可以把这个dll打包发我看下
2021-1-17 00:18
0
雪    币: 6171
活跃值: (2068)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
15

sha1:11452A002088C24616B4AF8E8D2E0C2688FECB5C

上传的附件:
2021-1-17 00:59
0
雪    币: 13196
活跃值: (6629)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
16
这个好办,把文件夹设成只读就不会更新浏览记录了,或者用无痕模式浏览网页
2021-1-17 01:05
0
雪    币: 6171
活跃值: (2068)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
17
hhkqqs 这个好办,把文件夹设成只读就不会更新浏览记录了,或者用无痕模式浏览网页[em_86]
这就因噎废食了,是QQ/微信绑架了你,让你不得不用他们的产品,而作为用户,我没办法因为它收集个人隐私就不再使用它,也不可能因为它不在使用访问历史的功能,折中的办法是干掉这些行为
2021-1-17 01:11
1
雪    币: 5368
活跃值: (5357)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
18
有没有办法屏蔽他这个行为
2021-1-17 01:20
0
雪    币: 6171
活跃值: (2068)
能力值: ( LV4,RANK:156 )
在线值:
发帖
回帖
粉丝
19
qwqdanchun 我用的是QQ9.4.2(27662),TIM是官网最新版. 刚找了9.4.1的发现是有的,如果你没有找到可以把这个dll打包发我看下
不好意思,刚用ALT + T全局搜索了一下,搜索到了,位于sub_510DFA17
2021-1-17 01:21
0
雪    币: 5841
活跃值: (3991)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
20
淡然他徒弟 有没有办法屏蔽他这个行为
比如v2ex那个帖子里,发现这个行为就是因为火绒hips的自定义规则,类似的软件都可以阻止行为
2021-1-17 01:42
0
雪    币: 57
活跃值: (1861)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
哈哈,赞一个!企鹅家的日常操作。况且有qqprotect,能做得事情更多了
2021-1-17 01:51
0
雪    币: 3123
活跃值: (4277)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
我不是针对你,我是说在座的各位我都读取
2021-1-17 11:03
0
雪    币: 96
活跃值: (84)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
9.2.3的AppUtil里面也查到了
2021-1-17 11:25
0
雪    币: 9177
活跃值: (5811)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
南山必胜客:收集你的上网记录这么点小事,你能耐我何?有本事告我啊。
2021-1-17 11:38
1
雪    币: 94
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
请问Mac上有没有这个问题?
2021-1-17 11:45
1
游客
登录 | 注册 方可回帖
返回