解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

近日在多个论坛爆出腾讯QQ及腾讯TIM软件有窥探用户安装的包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器的历史浏览记录以及遍历\AppData\Local\目录下所有文件.以下验证记录转载于https://bbs.pediy.com/thread-265359.htm

验证QQ窥探行为

1.打开Process Monitor并过滤规则

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

2.通过Process Monitor监控记录可看到QQ通过注册表搜索找到用户安装了Google Chrome,并读取ChromeC:\User\28718\AppData\Local\Google\Chrome\User Data\Default\History目录

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

3.再次对监控规则过滤,发现更多的异常行为,QQ遍历了C:\User\28718\AppData\Local\目录下所有文件夹

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

验证TIM窥探行为

通过监控发现TIM也对C:\User\28718\AppData\Local\下所有文件进行遍历读取,复制、创建等异常操作,行为程度不亚于同是聊天软件QQ,可见这样的行为是有多么的恐怖

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

反编译QQ

1.通过x32dbg挂载动态调试寻找位置

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

2.IDA反编译,位于AppUtil.dll文件.text:510EFB98附近

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

3.根据代码可看到QQ遍历读取\User Data\Default\History里的文件,如读取成功进行复制操作,复制到Temp下temphis.db文件,通过SQLite读取数据库

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

解决方案

1.下载安装火绒安全软件:https://www.huorong.cn/

2.新建以.json后缀文件并打开,复制以下内容并粘贴到json文件中保存退出

  1. {  
  2.     "ver":"5.0",  
  3.     "tag":"hipsuser",  
  4.     "data":[  
  5.         {  
  6.             "id":11,  
  7.             "power":0,  
  8.             "name":"QQ禁止访问浏览器历史记录(Chrome系列+Firefox)",  
  9.             "procname":"QQ.exe",  
  10.             "treatment":1,  
  11.             "policies":[  
  12.                 {  
  13.                     "montype":1,  
  14.                     "action_type":15,  
  15.                     "res_path":"*\\AppData\\Local\\*\\User Data\\Default\\History"  
  16.                 },  
  17.                 {  
  18.                     "montype":1,  
  19.                     "action_type":15,  
  20.                     "res_path":"*\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*"  
  21.                 }  
  22.             ]  
  23.         },  
  24.         {  
  25.             "id":14,  
  26.             "power":0,  
  27.             "name":"QQ禁止遍历Local文件夹",  
  28.             "procname":"QQ.exe",  
  29.             "treatment":1,  
  30.             "policies":[  
  31.                 {  
  32.                     "montype":1,  
  33.                     "action_type":15,  
  34.                     "res_path":"*\\AppData\\Local\\*"  
  35.                 }  
  36.             ]  
  37.         },  
  38.         {  
  39.             "id":13,  
  40.             "power":0,  
  41.             "name":"Tim禁止访问浏览器历史记录(Chrome系列+Firefox)",  
  42.             "procname":"Tim.exe",  
  43.             "treatment":1,  
  44.             "policies":[  
  45.                 {  
  46.                     "montype":1,  
  47.                     "action_type":15,  
  48.                     "res_path":"*\\AppData\\Local\\*\\User Data\\Default\\History"  
  49.                 },  
  50.                 {  
  51.                     "montype":1,  
  52.                     "action_type":15,  
  53.                     "res_path":"*\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*"  
  54.                 }  
  55.             ]  
  56.         },  
  57.         {  
  58.             "id":15,  
  59.             "power":0,  
  60.             "name":"Tim禁止遍历Local文件夹",  
  61.             "procname":"Tim.exe",  
  62.             "treatment":1,  
  63.             "policies":[  
  64.                 {  
  65.                     "montype":1,  
  66.                     "action_type":15,  
  67.                     "res_path":"*\\AppData\\Local\\*"  
  68.                 }  
  69.             ]  
  70.         }  
  71.     ]  
  72. }  

3.在火绒软件防护中心-高级保护,开启自定义防护

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

4.进入自定义防护中,导入刚新建规则,并启用规则

解决关于QQ|TIM窥探多款浏览器历史记录及遍历读取用户文件方案

结语

QQ及TIM读取用户包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器历史记录,且遍历AppData\Local\目录下所有文件,可见这两款软件的窥探行为是有多恶心,更多的创建复制等行为在此就不方便套路了,期待有大神完整扒出这两款软件的异常行为,例如读取、修改、创建、上传等行为.

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
搜索