这是一个创建于 1390 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。
幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。
拦截日志如下:
第 1 条附言 · 2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言 · 2021-01-17 12:50:59 +08:00
以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:
-
AppUtil.dll (有腾讯的数字签名)
- SHA256: C9FD14D538AAEFBC0624F3E50BF582C4306D7674F70518070B3D1179BFD596D7
- QQ 9.1.5 下载来源
第 3 条附言 · 2021-01-18 11:31:03 +08:00
简单总结一下:
影响范围
- QQ Windows 9.0.4 (发布于2018/06/15)之后的版本 (thx: @ddsfeng #315)
- TIM Windows 3.1.0 (发布于2020/07/29)之后的版本
具体行为
-
登录10分钟之后,读取浏览器浏览历史
- 读取
%LocalAppData%目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析 - 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
- 读取
- 对读取到的url进行md5,并在本地进行比较 @swchzq #157
-
md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229
- 第三个字符串应为
uland.taobao.com/sem/tbsearch?(来自知乎用户Harrion)
- 第三个字符串应为
事件进展
- 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
- 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
 |
1
renmu123 2021-01-14 21:10:40 +08:00 via Android  10
qq 还有一个更流氓的 qqprotect 的,安装完 qq 或 tim 后自动启动,无法关闭,关闭后 qq 将无法打开,美其名曰保护你的安全
|
 |
2
mengyx OP 1
@renmu123 #1 商店里面安装的没有 QQ Protect 。就是因为这个原因,才选择从 MS Store 安装。版本比较旧,不过能用就是了
|
 |
4
invalid522 2021-01-14 21:28:46 +08:00 1
如果电脑有敏感文件而又不得不长期使用某些流氓软件,虚拟机或者两部 PC 的配置还是刚需……
|
 |
5
wwqm2 2021-01-14 21:32:41 +08:00
专门一个手机做这方面用途
|
|
7
mengyx OP |
|
8
mengyx OP 8
@hzqim #6 我的话,主要就是
- SSH(和 Key)数据 C:\Users\XXX\.ssh - GPG 数据 C:\Users\XXX\.gnupg - 微信数据 C:\Users\XXX\Documents\Tencent Files - 浏览器数据 C:\Users\XXX\AppData\Local\Microsoft\Edge C:\Users\XXX\AppData\Local\Google\Chrome |
 |
9
jasonreg 2021-01-14 21:48:35 +08:00 via iPhone 1
可以试试 Windows Sandbox
|
 |
10
BwNVlwSq 2021-01-14 22:02:53 +08:00 via iPhone
没想到 QQ 这么骚……
|
 |
12
40EaE5uJO3Xt1VVa 2021-01-14 22:14:47 +08:00
自动看过一个帖子,tim 会读取梯子配置文件之后,我就重装系统,把大部分全丢尽虚拟机了,物理机唯一的一个国产软件就是雷神加速器。
|
 |
13
qa63842 2021-01-14 22:22:03 +08:00 via Android
没想到啊
|
 |
14
Cooky 2021-01-14 22:23:32 +08:00 via Android
sandboxie 还能用
|
 |
16
Mac 2021-01-14 23:02:44 +08:00
有啥火绒的规则可以分享伐?我都是默认的
|
|
17
mengyx OP 1
@Mac #16,我电脑里面没什么个人文件,所以只上了#8 里面几条
其他的可以去火绒的论坛里面看下,https://bbs.huorong.cn/forum.php?mod=forumdisplay&fid=45&filter=typeid&typeid=61 其实想一想哪些数据对自己重要,整个目录包含进去,只允许对应的程序读取就好 |
|
18
mengyx OP 1
@mengyx #8 勘误
微信数据是 C:\Users\XXX\Documents\Wechat Files C:\Users\XXX\Documents\Tencent Files 是 QQ 的数据,贴错了 |
 |
20
SekiBetu 2021-01-15 03:16:48 +08:00
国产软件没办法的
|
 |
21
qwqdanchun 2021-01-16 16:20:35 +08:00 26
其实不是针对 Chrome,https://bbs.pediy.com/thread-265359.htm
|
 |
22
brainor 2021-01-17 07:21:04 +08:00 4
@qwqdanchun 这也太搞笑了…澄清了不是爬了 Chrome 的历史文件,而是爬了所有浏览器的历史文件哈哈
|
|
23
brainor 2021-01-17 07:32:25 +08:00
@qwqdanchun 不仅是历史文件,我突然想到各个浏览器的 cookies 从外部也是能直接访问到的,不知道 QQ 有没有这样的行为呢?
|
|
25
SekiBetu 2021-01-17 10:59:50 +08:00
请问有什么解决办法吗,发现读取的不止一个软件
|
|
26
qwqdanchun 2021-01-17 11:00:46 +08:00
@SekiBetu 类似火绒 hips 之类的软件都可以
|
 |
27
shanliang 2021-01-17 11:03:46 +08:00
mac 上能复现吗?
|
 |
28
momocraft 2021-01-17 11:18:12 +08:00
win store 的 uwp 版去年年底起无法新登录. 现在 win store 能用的只有那个 exe 版, 结果还这么猛.
|
|
30
momocraft 2021-01-17 11:22:21 +08:00
如果还是想用 uwp 的 exe 版 qq (猜测相比腾讯自己发布的, 可能已经是洁版了) 可以用 sandboxie 等东西跑吗?
|
|
31
mengyx OP @shanliang #27 目前都是在 Windows 上面测试的;理论上 Mac 上面也可以读取,你可以验证一下试试
|
|
32
qwqdanchun 2021-01-17 11:30:17 +08:00
@shanliang 没有 mac 设备,等一手别人的后续分析
|
|
33
mengyx OP @gxgxxn #29 我下载的是这个,没有 QQ Protect,相对干净一点 https://www.microsoft.com/en-us/p/qq%e6%a1%8c%e9%9d%a2%e7%89%88/9nhlgf0zwc5s?activetab=pivot:overviewtab
|
 |
34
krisitina 2021-01-17 11:38:42 +08:00 2
https://github.com/milkice233/efb-qq-slave
可以试试这个吧, 微信 QQ telegram 一把梭 |
 |
35
Les1ie 2021-01-17 11:40:41 +08:00 2
|
 |
36
chenjian026 2021-01-17 11:45:09 +08:00 via Android
国内很多大众化的软件都会读取你的 V2RAY 文件夹
|
 |
37
Williams2008 2021-01-17 11:50:16 +08:00 via Android
@momocraft 麻花疼远程施法?看来只能上虚拟机了,流氓快要把我逼成技术专家了
|
 |
38
sublimevsatom 2021-01-17 11:55:14 +08:00
看到这个,我想到了这个腾讯 doh 的 edns client subnet 的支持,是直接发送整个本地 ip 公网地址的,
阿里的 doh 也没有这样做,它是发送本地 ip 地址的 /24 。 cloudflare 和 google 的 doh 也是没有这样做的。 所以,我想,在腾讯面前根本就没有隐私吧 |
 |
39
talen666 2021-01-17 12:01:05 +08:00
法律不管,很难处理
|
 |
40
jarodlee 2021-01-17 12:01:29 +08:00
腾讯真是太牛 B 了....只能说以后 QQ 请到虚拟机中运行吧,惹不起
|
 |
41
0ZXYDDu796nVCFxq 2021-01-17 12:11:21 +08:00
澄清一下:我不是针对谁,我是说在座各位,都被我扒光了
|
 |
42
tearslee 2021-01-17 12:12:27 +08:00
看了 https://bbs.pediy.com/thread-265359.htm 的文章,吓得我立马建了个规则,靠
|
 |
43
Rainyf 2021-01-17 12:17:26 +08:00
我一直以为国产软件是直接抓包偷信息的。。。。
仅看 qq 偷 chrome 记录的事,无痕浏览就可以防了? |
 |
44
aceralon 2021-01-17 12:21:03 +08:00 15
可以通过
Windows 安全中心-病毒和威胁防护-勒索软件防护-文件夹访问限制 来阻止访问,然后通过允许应用允许浏览器访问这些文件夹 |
 |
45
zhxhwyzh14 2021-01-17 12:24:58 +08:00 via Android
@aceralon 好方法,谢谢分享
|
 |
46
est 2021-01-17 12:26:16 +08:00 4
chrome 启动参数
--user-data-dir=/opt/other/my.chrome 不用谢。 |
 |
47
TheEastWind 2021-01-17 12:30:08 +08:00
@mengyx 楼主说,“前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。”就是你链接里的那个
|
 |
48
bihui 2021-01-17 12:30:16 +08:00
所以大佬,自定义拦截在哪儿?
|
 |
49
BigbyWolf 2021-01-17 12:34:09 +08:00 1
https://github.com/sandboxie-plus/Sandboxie
都侵入式审核了,也是因为"如果非用不可的话"。 |
 |
50
chinvo 2021-01-17 12:38:45 +08:00 via iPhone 1
澄清一下:我们 QQ 不是针对 chrome 你一家
|
 |
51
BFDZ 2021-01-17 12:46:49 +08:00
安卓手机也会读吗?手机没有自定义文件防护,文件读取只能全局放行
|
 |
52
duebasser 2021-01-17 12:47:30 +08:00
哦豁,导入社区分享的规则失败,新版本好像只能手动导入
|
 |
53
festoney8 2021-01-17 12:48:14 +08:00
process monitor 过滤规则 Path 包含 History 有惊喜,连 Chrome 插件的 history 都没放过
|
 |
54
NSAgold 2021-01-17 12:48:48 +08:00
@duebasser 因为你用的规则 json 是针对旧版本的 打开 json 会发现明显的“3.0”字样 新版的是“5.0”字样
|
 |
55
ifxo 2021-01-17 12:50:15 +08:00 1
十几年前就是这样,lz 还跟发现新大陆了一样。。。
|
 |
56
skadi 2021-01-17 12:53:22 +08:00
笑死.
|
 |
57
myself659 2021-01-17 12:56:02 +08:00
数据加密解决大部分问题,所以区块链走起来
|
 |
58
Nobody443 2021-01-17 12:57:01 +08:00
楼主能不能分享一下规则
|
 |
61
JasperHale 2021-01-17 12:59:46 +08:00 5
win10 沙盒.支持配置文件挂载指定文件夹,MS Store QQ 桌面版可以提取,挂在沙盒运行,体验很好.
不过沙盒太精简了,需要把宿主机的 X:\Windows\SysWOW64 挂到沙盒,配置只读.之后就能正常运行了. 测试过常用的,微信,百度网盘等等都能正常运行,除了迅雷,一开沙盒就挂,原因未知,不排除版本问题. 参考 > [win10 沙盒配置文件]( https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file) |
 |
62
Biggoldfish 2021-01-17 13:00:15 +08:00 1
@aceralon
感谢分享,但这个功能好像是默认信任了许多软件? 我自己尝试将一个目录添加到 Protected folders 里面,没有额外添加 Chrome 到信任目录,但仍然可以直接从 Chrome 里读取该目录的内容( Wechat store 版本同样可以读取)。在添加信任应用的页面有说明,Apps determined by Microsoft as friendly are always allowed 。如果这样的话,可能 QQ 等都会在默认的信任列表里?(毕竟该有的数字签名都有 |
 |
63
xou130 2021-01-17 13:00:51 +08:00 1
成功复现,用火绒就行。提个意见,火绒的自定义能白名单就更好了,指定一个 exe 只能访问哪些目录和文件
|
 |
64
aloxaf 2021-01-17 13:03:00 +08:00 22
让我来猜猜腾讯会怎么应对:
1. 压热度,冷处理 2. 声称是程序员个人行为 3. 声称是测试代码,误操作编译到了正式版中 4. 声称是代码写错了,本意只是整合 QQ 浏览器历史记录 5. 声称是为了某功能(比如恶意网址识别?)而收集的,一切数据只保留在本地 |
 |
65
TypeError 2021-01-17 13:03:01 +08:00
@Biggoldfish #62 我添加 Chrome 的 user data 目录到保护文件夹后,Chrome 访问也默认阻止了
|
|
66
JasperHale 2021-01-17 13:04:48 +08:00
回复不支持 markdown 又忘了....
@mengyx 这个分析贴,,😂,, |
 |
67
ziseyinzi 2021-01-17 13:04:57 +08:00 15
有没有可能就是:腾讯只是被迫这么做,想知道你浏览记录的不是腾讯,而是别的什么组织呢?一个猜想,不一定对。
|
 |
68
ScrapW 2021-01-17 13:06:52 +08:00
有没有办法让火绒禁止 qq 访问 appdata 下除了 qq 以外的所有文件夹
|
|
69
TypeError 2021-01-17 13:08:27 +08:00 1
@ziseyinzi #67 我猜有两个目的,一是为了收集访问记录搞用户画像卖广告,二是作为 Wei Wen 工具,为组织上报“不法”行为
|
|
70
zhxhwyzh14 2021-01-17 13:12:59 +08:00 via Android
@TypeError 加入百名单
|
|
71
zhxhwyzh14 2021-01-17 13:13:23 +08:00 via Android
@TypeError 把 chrome.exe 加入白名单。
|
|
72
TypeError 2021-01-17 13:13:38 +08:00
@zhxhwyzh14 #70 我知道,就是看下拦截能力怎么样
|
 |
73
JBaker 2021-01-17 13:14:45 +08:00
如果只是想要干掉读取历史记录这么一条的话,加一条 *\User Data\Default\History 的规则就可以了。
不过如果想保护更多东西的话,还是自己写记录比较好,写覆盖全一点的。 |
 |
74
yukiww233 2021-01-17 13:18:06 +08:00 2
tim 复现了
还不让在沙盒里跑,吐了 |
|
75
Biggoldfish 2021-01-17 13:18:24 +08:00
@TypeError
感谢,我把 Chrome 的目录添加进去确实访问会被弹窗限制 |
 |
78
littlewing 2021-01-17 13:20:42 +08:00
很好奇,Mac 能防住这种流氓吗,从 App Store 安装软件的版本
|
 |
79
vate32 2021-01-17 13:24:05 +08:00
@aceralon 用 Windows 安全中心的这个方法好像默认会添加\Documents 等文件夹为保护对象,还不能删除。但是 QQ 必须需要这个用作保存聊天记录等,只能放行,但是放行的话,好像对所有的目标都放行了。。。
|
 |
80
hellokt 2021-01-17 13:24:51 +08:00
看来国产软件完全不能用了, 腾讯就是流氓中的流氓,
话说到工信部的不良于垃圾信息举报中心(12321.cn)去投诉会有用吗? |
 |
81
yanqiyu 2021-01-17 13:27:11 +08:00 via Android 3
好家伙,幸好我是 Linux 桌面用户,根本安装不了 QQ (那个 Linux QQ 隔三差五掉线)
|
 |
82
Kagari 2021-01-17 13:27:39 +08:00 via Android
@myself659 #57 不是这个问题,数据加密了用的时候还是得解密,密钥不照样得存在本地。所以是在我们信任的设备上出现了不受信任的软件
|
 |
83
t6attack 2021-01-17 13:27:55 +08:00 4
用给 win 服务器做安全配置的方法,对个人 PC 也做精细化的权限配置,可以解决这个问题。但这样用电脑太不方便了。
新建一个低权限帐号,把你不想让它访问的目录一律“完全拒绝”。然后给 QQ 快捷方式加上 runas 参数。 更直观的说明:按住 shift,右键单机 应用程序 /快捷方式,有一个“以其他用户身份运行”,就是这个功能。指定一个你准备好的超低权限帐号就行。 |
 |
84
jiuqimax 2021-01-17 13:30:43 +08:00 via Android
太可怕了,已经不敢用 qq 了
|
|
85
Nobody443 2021-01-17 13:31:12 +08:00
@zhxhwyzh14 #71 请问怎么加入白名单,自定义防护里没有找到
|
 |
86
cxx0739 2021-01-17 13:32:00 +08:00 via Android
已卸载
|
|
87
JBaker 2021-01-17 13:32:33 +08:00 1
Firefox 的历史记录存在 C:\Users\*\AppData\Roaming\Mozilla\Firefox\Profiles\随机文件夹
有兴趣的同志们可以试着加一下规则看看,看看能不能弹出提示。 我加了一下,就只有 Firefox 弹出来过一次,QQ 目前还是没有考察那里的。当然不排除以后会考察那里的可能性。 |
 |
88
ooooo 2021-01-17 13:34:24 +08:00
尼玛 !
这不是那些流氓间谍木马才干的事吗 ??? |
 |
89
godling 2021-01-17 13:35:33 +08:00
@littlewing 同样好奇。mac 的设置里有个 full disk access,没有给 qq 权限不知道是不是就安全了
|
 |
90
everydaystruggle 2021-01-17 13:35:52 +08:00
求证,mac 上有类似风险么?微信呢?谢谢。
|
|
92
ifxo 2021-01-17 13:39:11 +08:00 2
@mengyx 因为腾讯也是分批次或者随机挑选的读取,不可能实时监控全世界的电脑,也没那力量,就是要混淆视听,有的人说读取了,有的人说没读取,让你摸不着头脑,不可能像你说的前些天才开始,不然咋会有 3q 大战发生,当初 360 抓 qq 现行,那都是 10 年前了吧
|
 |
93
Victrid 2021-01-17 13:39:24 +08:00 61
请各位注意,你们使用逆向工程方法分析腾讯公司的 QQ 软件的行为,是对腾讯公司知识产权产品的窃取,已经构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。
另外,你们运用火绒干扰腾讯公司的 QQ 软件,已经导致其不能正常收集用户的浏览记录与文件,构成破坏计算机信息系统罪。火绒博锐(北京)科技有限公司提供了非法侵入、修改、干扰腾讯公司的 QQ 软件正常运行的工具,已经构成提供侵入、非法控制计算机信息系统程序、工具罪。 如果你们尽快自首,交代犯罪事实,积极消除你们对腾讯公司造成的不利影响,还可以争取宽大处理。 |
 |
94
tsingjyujing 2021-01-17 13:39:33 +08:00 1
@yanqiyu Linux 用户握个手,逃离 Win 和这些垃圾软件真的太好了
|
 |
97
applesbananas 2021-01-17 13:45:36 +08:00 via iPhone 2
成功复现 TIM 读取历史记录
https://i.loli.net/2021/01/17/iTwpF3G7uexAU2a.jpg |
|
98
TypeError 2021-01-17 13:46:22 +08:00 4
@Biggoldfish @zhxhwyzh14 @ScrapW @JasperHale @aceralon @est
Windows 的保护文件夹还是不太够用,如果非得装国产,推荐把国产软件全扔 sandboxie 里 https://github.com/sandboxie-plus/Sandboxie |
 |
100
yuu95 2021-01-17 13:51:50 +08:00 via Android
还是沙盒开起来吧。。。。 这谁受得了
|
Select Language