-
-
[原创]关于QQ读取Chrome历史记录的澄清
-
2021-1-16 16:16
-
今天看到群里有同学发了一篇v2ex上的帖子(https://www.v2ex.com/t/745030),说QQ会读取Chrome的历史记录,被火绒自定义规则拦截了,本来我是不信的,但是他说他复现了,而且是QQ登录10分钟后才会去访问。
这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。
果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。
而且时间也是恰到好处的十分钟。
这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。
受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。
然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?
挂上x32dbg,动态调试找到位置。
然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)
这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。
再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。
结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。
晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
|
|
|
|
|
|
gg,看小黄片和看gayhub和谐内容被tx看的清清楚楚 这个教训也告诉我们:事实证明r3取证或者不用阴间api取证,加上没有一个好的anti-debug是多么愚蠢的操作
最后于 2021-1-16 21:20
被killleer编辑
,原因:
|
|
|
还有,火绒hips永远滴神 期待下次出一个bypass huorong hips的取证
最后于 2021-1-16 21:21
被killleer编辑
,原因:
|
|
|
|
|
|
TIM没有试,有兴趣的可以趁着电脑开机,挂上TIM和procmon等着看 晚上来编辑一下,TIM也有
最后于 2021-1-16 22:58
被qwqdanchun编辑
,原因:
|
|
|
事实证明,不止没有anti-debug,而且字符串都是明文可以搜到的 |
|
|
|
|
|
https://file.qwqdanchun.com/Temp/AppUtil.dll 就在qq安装目录就可以找到,IDA里直接看“.text:510EFB98”附近,或者搜索“User Data”就能找到文中图片位置 |
|
|
 建议QQ重来
|
|
|
得,局域网开个主机只跑这垃圾软件吧,太强了,不愧是tx。 顺便我PCQQ 9.4.1的DLL跟你发的不一样,搜字符串也没这个逻辑,看起来锁定这个版本,废掉qqprotect是当务之急 |
|
|
|
|
|
我用的是QQ9.4.2(27662),TIM是官网最新版. 刚找了9.4.1的发现是有的,如果你没有找到可以把这个dll打包发我看下 |
|
|
|
|
|
这个好办,把文件夹设成只读就不会更新浏览记录了,或者用无痕模式浏览网页
|
|
|
这就因噎废食了,是QQ/微信绑架了你,让你不得不用他们的产品,而作为用户,我没办法因为它收集个人隐私就不再使用它,也不可能因为它不在使用访问历史的功能,折中的办法是干掉这些行为 |
|
|
|
|
|
不好意思,刚用ALT + T全局搜索了一下,搜索到了,位于sub_510DFA17 |
|
|
比如v2ex那个帖子里,发现这个行为就是因为火绒hips的自定义规则,类似的软件都可以阻止行为 |
|
|
|
|
|
我不是针对你,我是说在座的各位我都读取
|
|
|
|
|
|
|
|
|
|
qwqdanchun
