前言
前天有一个小朋友跑过来问我,雨老师,发生什么事了,我一看哦,原来是前几天,有人在v2ex和看雪上发表了QQ会读取chrom浏览器历史记录的文章引起了大家的广泛讨论,本人本着实事求是的原则准备自己复现一下看一看是否有这么回事,毕竟我的历史记录那可真是不堪入目,万一被TX的人读取到了我怕他们产生心理阴影,废话不多说开搞。
复现过程
使用Process Monitor来监控QQ和chrom浏览器的互动,先来设置上规则。
果真如原文章所说,在登录QQ十分钟以后,QQ开始了读取Chrome浏览器历史记录。
QQ不可能只和google过去不,我们去掉一条规则,添加新的规则
果然是这样的,QQ:我不是针对谁,我只想说在座的各位我都想读,我大意了哈,原来是QQ遍历了Appdata\Local\下的所有文件夹,然后拼接上User Data\Default\History去读取历史记录。User Data\Default\History是谷歌系浏览器默认的历史纪录存放位置。
我们使用X32Dbg 附加QQ进程通过字符串搜索找到关键位置,进行分析。
发现在模块apputil.dll中。
在目录中找到文件,打开IDA进行分析。
但是这里遇到一个问题,我本机QQ的AppUtil.dll中并找不到相关位置,然后我使用了网上下载的一个AppUtil.dll,感兴趣的可以从这里下载。https://file.qwqdanchun.com/Temp/AppUtil.dll
关键位置就在.text段的510EFB98位置。
下面咱们来分析一下他到底干了什么。
前边读取内容部分的分析如下。
先拼接字符串路径,读取各种 User Data\Default\History 文件,读到了就复制到Temp目录下的temphis.db。
下面就是筛选一下读取的URL链接然后进行了一些操作(但是并没有传送回TX服务器,都是在用户本地完成的)。最后删除了temphis.db
因为最后删除了temphis.db然后再结合后来的腾讯的道歉,感觉是我们误会了TX,接着往下分析
因为读取历史记录是在另一个线程读取的,我们跳转到读取历史记录函数的外层函数来分析,这里判断了DomainName是不是tencent.com或者是否存在SNGPERF,如果条件满足那么v2=1
那么下面如果v2=1就不会读取历史记录,如果不是TX内部环境就开线程读取历史记录。??????我TM直接好家伙
读取了URL后,计算URL的md5,比几个固定的md5值比较。
如果md5匹配,会解析url分析&后面的参数,然后继续把这个参数做md5计算,和一些md5比较,匹配存入一块内存。
有人使用脚本跑出来的MD5值内容。可以看到淘宝、天猫、京东等电商
分析到这里个人觉得真相应该大白了,但是还是不知道那个判断SNGPERF是什么,百度google也没有什么结果,就先到这里把。
结语
腾讯在事情发生得第一时间也发布了道歉。。
而且最新版的QQ已经把问题解决了删除了相关代码。所以这种事情大家没有必要过于担心。
参考链接
https://bbs.pediy.com/thread-265359.htm
https://mp.weixin.qq.com/s/y9U2p-qnuG6jm61lERtQjQ
来源:freebuf.com 2021-01-21 10:16:44 by: 雨夜RainyNight
请登录后发表评论
注册