起因是看雪有人发了个帖子《关于QQ读取Chrome历史记录的澄清》

原帖:https://bbs.pediy.com/thread-265359.htm

本着看热闹不嫌事大的心态,也简单看了下自己的QQ,发现确实在10分钟左右会大量的扫描AppData目录。

拿起工具IDA,分析帖子中提到的AppUtil.dll,然后搜索下关键字就出来了,论坛也有人提到了,应该对关键字进行加密的,这样隐蔽效果更好 🙂

还是放图吧,图中做了简单的注释。

上面的代码中可以看到,等600秒后进行浏览器记录的扫描工作,但是有两种情况是不扫描的,一个是本地的AD域名称为tencent.com,不扫描,二是如果AD域名称包含SNGPERF也不扫描,前者估计是公司网络,后者么你懂的,不扫描我们自己部门。图片中关于tencent和SNGPERF的备注写错了,这里纠正下。

上面的代码是扫描IE的缓存。

上面的代码是扫描非IE类的浏览器。

那么如何禁止它扫描呢,好多办法:
1.初始化的时候直接把V2设置为1
2.加入域组织SNGPERF或者tencent.com
3.在下面if(!v2)的时候,直接jmp掉,管你V2是多少呢。
4.再往上回溯,直接把sub_50FA2EAA干掉,也行。

因为我用的QQ是修改版,所以可以随意修改各个DLL,修改版作者去掉了校验。当然原版QQ是不能随意修改的。

退一步,你要是觉得QQ看你的浏览器记录无所谓呢,也就不用折腾了。

好了,就写这么多。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注