chrome 插件 抓取网页qq聊天记录(QQ会读取Chrome的历史记录，被火绒自定义规则拦截了 )

　　chrome 插件 抓取网页qq聊天记录(QQ会读取Chrome的历史记录，被火绒自定义规则拦截了

)

　　先说结论，QQ会读取浏览器的历史浏览记录，包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等。

　　今天看到群里有个同学在v2ex()上发了个帖子，说QQ会读Chrome的历史，被火绒的自定义规则屏蔽了。我一开始不相信，但他说他又出现了，而且QQ登录后只有10分钟才能访问。

　　我想验证一下，打开虚拟机安装QQ、Chrome，然后打开Process Monitor启动等等。规则被简单地过滤。

　　果然看到了读取AppData\Local\Google\Chrome\User Data\Default\History等目录的操作。

　　而且时间正好十分钟。

　　这才是QQ和Chrome打不通的实锤。我不相信。我把规则删了，又查了一遍，发现QQ被冤枉了。

　　受害者的数量令人震惊。仔细看，这个东西会遍历Appdata\Local\下的所有文件夹，然后添加User Data\Default\History来读取。User Data\Default\History 是谷歌浏览器默认的历史记录存储位置（火狐等浏览器对该目录不熟悉，Chrome被拍是正常的。

　　那么就该研究一下QQ为什么会这样了，浏览器历史记录又是怎么读取的呢？

　　连接 x32dbg 并动态调试以找到位置。

　　然后去IDA直接反编译，如下（位置在AppUtil.dll中.text:510EFB98附近）

　　这一段的逻辑还是很容易理解的。先读取各种User Data\Default\History文件，复制到Temp目录下的temphis.db。回去看看Procmom，果然。

　　之后操作就简单了，SQLite读取数据库，然后“select url from urls”，大家就知道是干什么的了。后面我就不多说了，有兴趣的可以自己看。

　　综上所述，QQ并没有刻意读取Chrome的历史，而是会尝试读取电脑上所有基于谷歌的浏览器的历史并提取链接。确认将招募的浏览器包括但不限于Chrome、Chromium、360极速、360安全、猎豹、2345等浏览器。这里@腾讯QQ

　　我会在晚上编辑它。刚试了TIM，果然是经典再现，比QQ还离谱。