时间:2023-04-29 03:23
体育app新人注册送18元-免申请,即刻送
近期,有不少网友说, QQ 和 QQ 办公版 TIM 会扫描用户的 Chrome 浏览器历史,搜索购物记载选择性上传,今天我就代领大家如何分析证实这一‘北鼻’的行为。据相识:User DataDefaultHistory 是基于 Chrome/Chromium 浏览器默认历史纪录存放位置,但 QQ 并不是针对 Chrome,会遍历读取所有浏览器历史记载,确认会中招的浏览器包罗但不限于如 Chrome、Chromium 等浏览器。
如何验证,开虚拟机装QQ、Chrome,然后打开Process Monitor开始等,规则过滤下。真的看到了读取AppDataLocalGoogleChromeUser DataDefaultHistory等目录的操作。这是证实了QQ和Chrome过不去啊,这我可不信,把规则去掉,重新翻了一下才发现果真是北鼻啊。
受害者人数令人震惊。仔细检察即可发现,这是遍历Appdata Local 下的所有文件夹,然后添加User Data Default History来读取它。
用户数据默认历史记载是Google浏览器的默认历史记载存储位置(不熟悉Firefox之类的浏览器,而且不知道目录是什么),而且可以拍摄Chrome。然后是时候研究为什么QQ这样做了,浏览器的历史记载读了什么? 毗连x32dbg并找到用于动态调试的位置。
然后去IDA里直接反编译出来,如下(位置在AppUtil.dll中 .text:510EFB98 四周)本节的逻辑很容易明白。首先读取种种User Data Default History文件,然后将它们复制到Temp目录中的temphis.db。回去看Procmom,那是对的。
之后操作简朴。SQLite读取数据库,然后“select url from urls”。大家都知道这是在干什么。后面就不说了,有兴趣的可以自己看。
结论:QQ并没有刻意去读Chrome的历史,而是试图去读电脑里所有Google浏览器的历史,提取链接。浏览器包罗但不限于Chrome、 Chromium、 360极速、 360宁静、猎豹、 2345。晚上过来剪辑。刚刚试过TIM,经典重现,比QQ还要离谱。
我不多说,直接上图。
本文来源:注册领取18元体验金-www.ccsqxhb.com