安装包:国际版TIM
环境介绍 使用onedrive对C盘重要部分进行同步,如文档,视频等。
而TIM在安装的时候会在C盘用户文件夹中添加一些文件夹以及库文件等等。
运行安装之后,首先允许通过防火墙,此时onedrive提示TIM请求下载XXXX文件,后缀为.dll。第一次选择不允许,然后TIM安装失败,应该是对相应的文件夹没有访问权限。后面选择允许下载,发现下载了如下图的文件。
后续在设置中发现有一部分设置是以前的版本中。所以这些文件可能与系统设置相关。
其他发现
下图中有这个超大的文件。.db应该是数据库文件,推测可能是聊天记录之类的,或者以腾讯的风格来看也有可能是别的东西。于是开始探索。
浏览器检索发现了某论坛上面有介绍,是聊天数据文件,并且附带解密方法。
数据库可以打开,但是聊天记录以及聊天记录metadata是编码状态,需要解码后才能使用。
相关函数的解码函数在KernelUtil.dll内。
如果Win用户留意过任务管理器,会发现有无法关闭的QQProtect进程。
以下为个人看法:除了常规的保护,这个进程也与最近著名的"QQ扫描个人隐私事件有关"
证据:来自QQ,或者TIM内部的说明。
“安全检查系统”
PC版的QQ是有QQProtect这种流氓功能的,QQProtect以内核态驱动形式载入,还篡改了SSDT。所以直接调试被QQProtect保护的QQ主程序非常困难。
PS2. 在打开PC QQ登录的时候,会出现多个进程。大致是启动进程、登录UI进程和服务进程(负责实际工作)。启动进程在唤起UI进程之后会立即被销毁。登录完成后,登录UI进程也会被销毁,断点必须打在服务进程上。
强制停止QQ保护进程后TIM自动退出,被占用的文件释放。