-
-
[原创]关于QQ读取Chrome历史记录的澄清
-
发表于: 2021-1-16 16:16
-
今天看到群里有同学发了一篇v2ex上的帖子(075K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3x3X3g2^5i4K6u0W2j5$3!0E0i4K6u0r3N6q4)9J5c8U0M7@1y4e0l9K6x3l9`.`.),说QQ会读取Chrome的历史记录,被火绒自定义规则拦截了,本来我是不信的,但是他说他复现了,而且是QQ登录10分钟后才会去访问。
这我就想去验证下了,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等。规则简单的过滤下。
果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。
而且时间也是恰到好处的十分钟。
这是实锤了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果然是冤枉QQ了啊。
受害人之多令人震惊,仔细一看,这玩意是遍历了Appdata\Local\下的所有文件夹,然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器(火狐等浏览器不熟,不清楚目录如何)默认的历史纪录存放位置,Chrome中枪也就很正常了。
然后就该研究研究QQ为啥要这么干了,读取到的浏览器历史记录又拿来干啥了呢?
挂上x32dbg,动态调试找到位置。
然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 附近)
这一段的逻辑还是很好看懂的,先读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。回去看下Procmom,果然没错。
再之后的操作就简单了,SQLite读取数据库,然后“select url from urls”,这是在干什么大家都懂哈。后面就不接着讲了,有兴趣的可以自己接着看。
结论,QQ并不是特意读取Chrome的历史记录的,而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接,确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。
晚上来编辑一下,刚才去试了下TIM,果然经典重现,而且比QQ还离谱,不多说直接上图。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
gg,看小黄片和看gayhub和谐内容被tx看的清清楚楚 这个教训也告诉我们:事实证明r3取证或者不用阴间api取证,加上没有一个好的anti-debug是多么愚蠢的操作
最后于 2021-1-16 21:20
被killleer编辑
,原因:
|
|
|
还有,火绒hips永远滴神 期待下次出一个bypass huorong hips的取证
最后于 2021-1-16 21:21
被killleer编辑
,原因:
|
|
|
|
|
|
TIM没有试,有兴趣的可以趁着电脑开机,挂上TIM和procmon等着看 晚上来编辑一下,TIM也有
最后于 2021-1-16 22:58
被qwqdanchun编辑
,原因:
|
|
|
事实证明,不止没有anti-debug,而且字符串都是明文可以搜到的 |
|
|
|
|
|
354K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3K9h3I4W2i4K6u0W2M7i4N6I4k6r3q4F1j5$3S2#2L8W2)9J5k6h3y4G2L8g2)9J5c8W2c8W2L8i4m8Q4x3V1k6m8M7s2m8g2N6r3W2D9i4K6u0W2k6r3I4D9i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1#2i4@1t1H3i4@1t1I4i4@1f1#2i4K6W2o6i4@1p5^5M7i4q4Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0S2Q4b7e0y4Q4z5o6g2Q4c8e0N6Q4z5f1u0Q4b7f1g2Q4c8e0g2Q4b7V1c8Q4z5e0g2Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8f1k6Q4b7V1y4Q4z5p5y4u0c8p5q4Q4c8e0W2Q4z5o6N6Q4z5p5y4Q4c8e0N6Q4z5f1u0Q4b7U0c8Q4c8e0k6Q4z5p5g2Q4b7e0g2Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0u0Q4z5o6m8Q4z5f1y4Q4x3X3g2@1k6i4S2@1i4K6y4m8y4e0p5H3c8f1k6n7z5e0S2Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0W2Q4z5e0W2Q4z5o6c8Q4c8e0S2Q4b7V1k6Q4z5e0q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0k6Q4c8e0S2Q4z5o6m8Q4z5o6g2Q4c8e0k6Q4z5e0m8Q4z5f1y4Q4c8e0N6Q4b7U0c8Q4b7e0u0Q4c8e0u0Q4z5o6m8Q4z5f1y4g2M7$3g2J5i4K6t1$3L8X3u0K6M7q4)9K6b7V1c8S2N6r3q4Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0S2Q4z5o6y4Q4b7V1c8Q4c8e0k6Q4z5o6W2Q4b7V1g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0g2Q4z5f1u0Q4b7V1g2Q4c8e0N6Q4z5o6W2Q4z5o6N6Q4c8e0c8Q4b7V1c8Q4z5p5c8Q4c8e0N6Q4b7V1c8Q4b7f1f1`. |
|
|
 建议QQ重来
|
|
|
得,局域网开个主机只跑这垃圾软件吧,太强了,不愧是tx。 顺便我PCQQ 9.4.1的DLL跟你发的不一样,搜字符串也没这个逻辑,看起来锁定这个版本,废掉qqprotect是当务之急 |
|
|
|
|
|
我用的是QQ9.4.2(27662),TIM是官网最新版. 刚找了9.4.1的发现是有的,如果你没有找到可以把这个dll打包发我看下 |
|
|
|
|
|
这个好办,把文件夹设成只读就不会更新浏览记录了,或者用无痕模式浏览网页
|
|
|
这就因噎废食了,是QQ/微信绑架了你,让你不得不用他们的产品,而作为用户,我没办法因为它收集个人隐私就不再使用它,也不可能因为它不在使用访问历史的功能,折中的办法是干掉这些行为 |
|
|
|
|
|
不好意思,刚用ALT + T全局搜索了一下,搜索到了,位于sub_510DFA17 |
|
|
比如v2ex那个帖子里,发现这个行为就是因为火绒hips的自定义规则,类似的软件都可以阻止行为 |
|
|
|
|
|
我不是针对你,我是说在座的各位我都读取
|
|
|
|
|
|
|
|
|
|
hzqst 
qwqdanchun
