网络安全 · Network security

关于腾讯QQ获取用户浏览器记录的逆向分析

小编 · 1月18日 · 2021年

前言

今天刷QQ的时候,看见看见群里有人发关于QQ读取Chrome历史记录的帖子链接,于是我就准备自己也来分析一下,也就有了这篇文章。学艺不精如有错误请大佬指正。

关于腾讯QQ获取用户浏览器记录的逆向分析

正文

先是寻找获取浏览器记录的部分 sub_510EFA54:

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造
关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

从上面的代码可以看到,这个函数先调用 SHGetSpecialFolderPathW 来获取appdata的路径,然后在枚举目录并判断文件是否存在,如果存在就读入文件,然后交给sub_510EECC2处理数据,接下来来看一看这个函数是怎么被调用的(sub_510EECC2后面再说)

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

可以看到这个函数先是判断dns是否为”tencent.com”,如果没有就判断是否有”SNGPERF”字符串,没有就会触发sub_510EF8F9和sub_510EFA54(WaitForSingleObject那个不知道哪里发来的)接下来看看sub_510EF8F9

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

sub_510EF8F9是针对ie缓存的一个读取,最后url数据也会交由sub_510EECC2处理,sub_510EECC2:

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

sub_510EECC2先是对比了一下url的哈希值,然后将url分割对比参数,最后的结果被传递到了sub_510EE133,哈希值对应的文本(由看雪大佬跑出来的):

    tasks = {
    # URL 匹配
    # (23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA): b'', # ://S.TAOBAO.COM/SEARCH?
    # (34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79): b'', # LIST.TMALL.COM/SEARCH_PRODUCT.HTM?
    (30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438): b'', #
    # (21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8): b'', # SEARCH.JD.COM/SEARCH?

    # 搜索关键词匹配
    # group 1
    # (18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58): b'', # 古着
    # (7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C): b'', # VINTAGE

    # group 2
    # (18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273): b'', # 融券
    # (18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C): b'', # 融资

    # group 3
    # (18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD): b'', # 炒股
    # (18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED): b'', # 股票
    }

sub_510EE133里进行了一系列操作,然后最后在zc表里写了一个值sub_510EE133:

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

回到sub_510F48FD,继续看调用,发现是sub_510EFF96调用的sub_510F48FD。sub_510EFF96:

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造
关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

sub_510EFF96貌似就是初始化了一下哈希值,然后创建了线程,再看看上层调用sub_510EBBF0。

sub_510EBBF0:

关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造
关于腾讯QQ获取用户浏览器记录的逆向分析-字节智造

可以看到是一个登陆的一个事件。

看来腾讯QQ的澄清应该是真的。不过还是建议大家尽量装软件装国外版本的,因为国内软件在国外上架的版本,后台收敛很多

腾讯QQ官方回应

如何看待 QQ 扫描读取所有浏览器的历史记录? – 腾讯QQ的回答 :https://www.zhihu.com/question/439768601/answer/1683913941

最后附上dll

0 条回应

必须 注册 为本站用户, 登录 后才可以发表评论!