论坛 › ＰＣ数码 › QQ 正在尝试读取你的浏览记录

blackchichen 发表于 2021-1-17 18:36

QQ 正在尝试读取你的浏览记录

本帖最后由 blackchichen 于 2021-1-17 18:39 编辑

今天看到群里有同学发了一篇v2ex上的帖子（https://www.v2ex.com/t/745030），说QQ会读取Chrome的历史记录，被火绒自定义规则拦截了，本来我是不信的，但是他说他复现了，而且是QQ登录10分钟后才会去访问。

这我就想去验证下了，开虚拟机装QQ、Chrome，然后打开Process Monitor开始等。规则简单的过滤下。
https://p.sda1.dev/0/2337f99593f6b5af9652a1a787ffc99f/873391_DJ94X9WVG4MBTWR.jpg

果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。

https://p.sda1.dev/0/ef04637b44b03d50525867e4bbfd8423/IMG_CMP_3911840.jpg

而且时间也是恰到好处的十分钟。

https://p.sda1.dev/0/5be885b7b613df7b77c83f7fb3a02027/9e508bcd8a88b09fde6ab5334575bd7d.png

这是实锤了QQ和Chrome过不去啊，这我可不信，把规则去掉，重新翻了一下才发现果然是冤枉QQ了啊。

https://p.sda1.dev/0/043f7f5f92d9daf7eb5539b982593793/IMG_CMP_672750.jpg

受害人之多令人震惊，仔细一看，这玩意是遍历了Appdata\Local\下的所有文件夹，然后加上User Data\Default\History去读啊。User Data\Default\History是谷歌系浏览器（火狐等浏览器不熟，不清楚目录如何）默认的历史纪录存放位置，Chrome中枪也就很正常了。

然后就该研究研究QQ为啥要这么干了，读取到的浏览器历史记录又拿来干啥了呢？

挂上x32dbg，动态调试找到位置。

https://p.sda1.dev/0/55d34e53b7f56abffd6167d52d1832c7/873391_C2KUMY3YXHM4B37.jpg

然后去IDA里直接反编译出来，如下（位置在AppUtil.dll中 .text:510EFB98 附近）

https://p.sda1.dev/0/6c507f7c6553beeeb42f80d7c3546ff0/873391_5HHXWXCZHYAZ4RH.jpg

这一段的逻辑还是很好看懂的，先读取各种 User Data\Default\History 文件，读到了就复制到Temp目录下的temphis.db。回去看下Procmom，果然没错。

https://p.sda1.dev/0/1023c065f18e572ce4fb244d5f7d04a5/IMG_CMP_86330164.jpg

再之后的操作就简单了，SQLite读取数据库，然后“select url from urls”，这是在干什么大家都懂哈。后面就不接着讲了，有兴趣的可以自己接着看。

结论，QQ并不是特意读取Chrome的历史记录的，而是会试图读取电脑里所有谷歌系浏览器的历史记录并提取链接，确认会中招的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。

晚上来编辑一下，刚才去试了下TIM，果然经典重现，而且比QQ还离谱，不多说直接上图。

https://p.sda1.dev/0/fe0c9959a58a681da9c6fbe6d21b017c/IMG_CMP_154398769.jpg https://p.sda1.dev/0/4e8bf0b8cfb22d003120e3e4bc07b81d/IMG_CMP_223834424.jpg

https://bbs.pediy.com/thread-265359.htm

lichuan325 发表于 2021-1-17 18:38

今天不守尸 发表于 2021-1-17 18:41

看了下手机，发现新版本的QQ图标那只企鹅多了一对恶魔之角，这是不装了，我摊牌了？

半点孤灯 发表于 2021-1-17 18:42

moeful 发表于 2021-1-17 18:42

之前的贴被转到pc区去了，最早的那贴因为重复被删了。你这帖估计也得删。

马赛克君 发表于 2021-1-17 19:14

记得之前还有个新闻，腾讯的一个吃鸡游戏，叫无限法则，会读取你的vpn信息

nexus1 发表于 2021-1-17 19:35

第三铁

kcordnas 发表于 2021-1-17 19:38

引用第5楼马赛克君于2021-01-17 19:14发表的:
记得之前还有个新闻，腾讯的一个吃鸡游戏，叫无限法则，会读取你的vpn信息

@马赛克君

这个好像是外挂服务器要用SS连上去

----发送自 STAGE1 App for Android.

Fcrea 发表于 2021-1-17 21:58

玩过dnf的都知道TX安全平台就是个硬盘扫描器吧

Benighted 发表于 2021-1-17 22:00

早就虚拟机伺候了

FBIwarning 发表于 2021-1-17 22:01

烦死了 发表于 2021-1-17 22:05

Benighted 发表于 2021-1-17 22:00
早就虚拟机伺候了

请问这个是怎么操作？ 在virtual box之类的里面装qq？

beersun 发表于 2021-1-17 22:10

烦死了 发表于 2021-01-17 22:05:52
请问这个是怎么操作？ 在virtual box之类的里面装qq？虚拟机装个win再装QQ

-- 来自 有消息提醒的 Stage1官方 iOS客户端

FBIwarning 发表于 2021-1-17 22:37

查看完整版本: QQ 正在尝试读取你的浏览记录