验证QQ窥探行为
1.打开Process Monitor并过滤规则
2.通过Process Monitor监控记录可看到QQ通过注册表搜索找到用户安装了Google Chrome,并读取ChromeC:\User\28718\AppData\Local\Google\Chrome\User Data\Default\History目录
3.再次对监控规则过滤,发现更多的异常行为,QQ遍历了C:\User\28718\AppData\Local\目录下所有文件夹
验证TIM窥探行为
通过监控发现TIM也对C:\User\28718\AppData\Local\下所有文件进行遍历读取,复制、创建等异常操作,行为程度不亚于同是聊天软件QQ,可见这样的行为是有多么的恐怖
反编译QQ
1.通过x32dbg挂载动态调试寻找位置
2.IDA反编译,位于AppUtil.dll文件.text:510EFB98附近
3.根据代码可看到QQ遍历读取\User Data\Default\History里的文件,如读取成功进行复制操作,复制到Temp下temphis.db文件,通过SQLite读取数据库
解决方案
1.下载安装火绒安全软件:https://www.huorong.cn/
2.新建以.json后缀文件并打开,复制以下内容并粘贴到json文件中保存退出
- {
- "ver":"5.0",
- "tag":"hipsuser",
- "data":[
- {
- "id":11,
- "power":0,
- "name":"QQ禁止访问浏览器历史记录(Chrome系列+Firefox)",
- "procname":"QQ.exe",
- "treatment":1,
- "policies":[
- {
- "montype":1,
- "action_type":15,
- "res_path":"*\\AppData\\Local\\*\\User Data\\Default\\History"
- },
- {
- "montype":1,
- "action_type":15,
- "res_path":"*\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*"
- }
- ]
- },
- {
- "id":14,
- "power":0,
- "name":"QQ禁止遍历Local文件夹",
- "procname":"QQ.exe",
- "treatment":1,
- "policies":[
- {
- "montype":1,
- "action_type":15,
- "res_path":"*\\AppData\\Local\\*"
- }
- ]
- },
- {
- "id":13,
- "power":0,
- "name":"Tim禁止访问浏览器历史记录(Chrome系列+Firefox)",
- "procname":"Tim.exe",
- "treatment":1,
- "policies":[
- {
- "montype":1,
- "action_type":15,
- "res_path":"*\\AppData\\Local\\*\\User Data\\Default\\History"
- },
- {
- "montype":1,
- "action_type":15,
- "res_path":"*\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*"
- }
- ]
- },
- {
- "id":15,
- "power":0,
- "name":"Tim禁止遍历Local文件夹",
- "procname":"Tim.exe",
- "treatment":1,
- "policies":[
- {
- "montype":1,
- "action_type":15,
- "res_path":"*\\AppData\\Local\\*"
- }
- ]
- }
- ]
- }
3.在火绒软件防护中心-高级保护,开启自定义防护
4.进入自定义防护中,导入刚新建规则,并启用规则
结语
QQ及TIM读取用户包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器历史记录,且遍历AppData\Local\目录下所有文件,可见这两款软件的窥探行为是有多恶心,更多的创建复制等行为在此就不方便套路了,期待有大神完整扒出这两款软件的异常行为,例如读取、修改、创建、上传等行为.