今天在浏览网站的时候无意看到了这样一张图片:
WTF?这我的小秘密不就全被你发现了吗?搞得人慌得一批~
调用进程观察一波:
果然后面有一个大大的"history"。
关于逆向分析这里就不做阐述了,看雪论坛里已经有大佬作出分析了,感兴趣的同学可以去看。这里说一下解决办法。
根据看雪论坛的文章,制作了针对文章内所分析的"qq\Tim读取c++hrome系列历史记录"和"遍历appdata\Local文件夹"行为的火绒规则,方便直接导入使用,可根据需要自行定制化修改。
●特点:
1.指定QQ\Tim为目标对象,不会导致其他正常软件访问目录遭到限制(部分用户分享的规则未指定对象,会导致像Firefox使用时访问自己的目录也会频繁弹出提示)。
2.浏览器防护目录包括Chrome系浏览器和Firefox用户目录。
3.添加对AppData\Local文件夹的访问权限设置,如果提示QQ\Tim访问其他程序目录可拒绝,如果访问 tencent 自己的目录可手动放行。该功能可根据需要自行开启。
●使用方法:
火绒打开安全设置>高级防护>自定义防护>导入,再手动打开您所需要的功能开关,再进入火绒首页的防护中心>高级防护,打开"自定义防护"即可。
以下是jsON代码:
{
"ver":"5.0",
"tag":"hipsuser",
"data":[
{
"id":11,
"power":0,
"name":"QQ禁止访问浏览器历史记录(Chrome系列+Firefox)",
"procname":"QQ.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*\\AppData\\Local\\*\\User Data\\Default\\History"
},
{
"montype":1,
"action_type":15,
"res_path":"*\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*"
}
]
},
{
"id":14,
"power":0,
"name":"QQ禁止遍历Local文件夹",
"procname":"QQ.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*\\AppData\\Local\\*"
}
]
},
{
"id":13,
"power":0,
"name":"Tim禁止访问浏览器历史记录(Chrome系列+Firefox)",
"procname":"Tim.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*\\AppData\\Local\\*\\User Data\\Default\\History"
},
{
"montype":1,
"action_type":15,
"res_path":"*\\AppData\\Roaming\\Mozilla\\Firefox\\Profiles\\*"
}
]
},
{
"id":15,
"power":0,
"name":"Tim禁止遍历Local文件夹",
"procname":"Tim.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*\\AppData\\Local\\*"
}
]
}
]
}
不过最新版本已经去掉了读取history的相关代码,通过这件事让我会想到了10年前的3Q大战时候腾讯的公告和致歉信,如今这件事发生以后这个页面已经404了,腾讯公司曾经的致歉信已经找不到了。
现在把这之前留存的截图附在文章后面。