::电驴基地:: - Powered by Discuz! Board

标题: 揭秘QQ的罪行（证明篇） [打印本页]

作者: 96439643 时间: 2010-6-1 12:24 标题: 揭秘QQ的罪行（证明篇）

作者：Kernone 来源：http://hi.baidu.com/kernone/blog ... 3f8255252df2ff.html
（对图片点右键查看图片可看大图，火狐用户直接点击图片后滚轮可缩放图片）
上一篇，揭露了QQ的一个“公开的秘密”。下面，就以实际来证明QQ的这些行为。

首先，QQ的安装目录中，基本上所有的文件都是经过数字签名，不得不佩服TX办事很认真！而在安装目录中有个Common.dll的动态链接库文件，下面是该动态链接库调用的函数截图，其中就有枚举磁盘文件所用的FindFirstFile、FindNextFile、FindClose三个组合函数。
[img]http://xgimg.com/downloadPicture.php?

[/img]

函数在此，我相信是最有力的证据！当然，具体拿这个函数是枚举磁盘所有文件，还是用于其它目的，我不清楚。注意，这是直接调用 Find***系列函数，而不是经过User32.dll调用，User32.dll调用这对函数很正常，因为通用对话框必须要使用这对函数进行枚举文件。

下图，应该可以说明问题
[img]http://xgimg.com/downloadPicture.php?

[/img]

由图可以看到，QQ访问Messenger目录，我的TOOLS目录，但是访问这些目录的用意就不清楚了。至少，如果我要开发一款软件，我想我是不会跑去枚举跟我不相关的目录文件。

下图是QQ打开Messenger文件截图，我实在是搞不懂，为什么要打开EXE以及其它PE文件。难道是为了确认某个文件是PE格式或者TXT格式或者其它格式，而采用某种算法进行文件分析？
[img]http://xgimg.com/downloadPicture.php?

[/img]

在分析QQ过程中，我还写了一段代码来模仿QQ行为，结果，我可以完全认定，QQ调用OpenFile函数打开文件，并且读取文件内容（不管是二进制文件还是其它类型文件）。截图为证：

请将该截图与上一篇（事件篇）中的图片对比，非常相似。

[img]http://xgimg.com/downloadPicture.php?

[/img]

证明篇就写到这里，我认为，以上分析完全足以证明QQ的罪证。或许，可能是我最先胡乱猜想导致后面的推测与事实不符。但是，有这些证据，我估计我的猜想也不会有很大出入。

大家也可以回想，为什么很多人都在怀疑QQ，为什么曾经国外杀软刚进入中国都“误报”QQ是病毒？这些还需要您自己去体会。

-----------------------------------------------------------------------------------------------------

还有很多截图，但是基本上都是记录QQ扫描用户文件的，我就不一一展示了。您可以在卡饭论坛上查找相关的贴子。

这里，我还找到了一个记录下珊瑚虫QQ扫描注册表的附件，当然，我还是以截图展示：

[img]http://xgimg.com/downloadPicture.php?

[/img]

作者: bluecat123 时间: 2010-6-1 15:13

使用时不可彻底避免的，，，关键是给出解决办法。。

作者: 驴子超 时间: 2010-6-1 15:43

楼主乃电脑高手也，谢谢证明，我现在已不用扣扣

作者: aio 时间: 2010-6-1 20:47

让它扫吧！哥没什么机密给它偷！

作者: haijun110 时间: 2010-6-1 22:47 标题: 回复 4# aio 的帖子

你上基地下AV老大哥都在看着

作者: weigesang 时间: 2010-6-2 10:07

技术贴表示支持

作者: meshen 时间: 2010-6-3 10:07 标题: 回复 2# bluecat123 的帖子

使用网页版的QQ：http://web.qq.com/
没有语音和视频

作者: 黑崎二护 时间: 2010-6-3 15:27

唉，就是知道了，我也只能这么用着，无力反击

作者: lingyu 时间: 2010-6-4 06:32

关键是上面的好友啊，有没有办法屏蔽QQ的这个功能？

作者: 9010758 时间: 2010-6-4 16:52

2010版。。。。。。我一直用着08的飘云修改版，扫描本地硬盘的没见到，网络连接倒是有

欢迎光临 ::电驴基地:: (https://cmule.com/)