今天在浏览网站的时候无意看到了这样一张图片：

文章插图
WTF？这我的小秘密不就全被你发现了吗？搞得人慌得一批~



文章插图
调用进程观察一波：



文章插图


文章插图
果然后面有一个大大的"history" 。
关于逆向分析这里就不做阐述了，看雪论坛里已经有大佬作出分析了，感兴趣的同学可以去看 。这里说一下解决办法 。
根据看雪论坛的文章，制作了针对文章内所分析的"QQTim读取Chrome系列历史记录"和"遍历AppDataLocal文件夹"行为的火绒规则，方便直接导入使用，可根据需要自行定制化修改 。
●特点：
1.指定QQTim为目标对象，不会导致其他正常软件访问目录遭到限制（部分用户分享的规则未指定对象，会导致像Firefox使用时访问自己的目录也会频繁弹出提示） 。
2.浏览器防护目录包括Chrome系浏览器和Firefox用户目录 。
3.添加对AppDataLocal文件夹的访问权限设置，如果提示QQTim访问其他程序目录可拒绝，如果访问 Tencent 自己的目录可手动放行 。该功能可根据需要自行开启 。
●使用方法：
火绒打开安全设置>高级防护>自定义防护>导入，再手动打开您所需要的功能开关，再进入火绒首页的防护中心>高级防护，打开"自定义防护"即可 。
以下是JSON代码：

【qq识别（qq个性网）】{
"ver":"5.0",
"tag":"hipsuser",
"data":[
{
"id":11,
"power":0,
"name":"QQ禁止访问浏览器历史记录（Chrome系列+Firefox）",
"procname":"QQ.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*AppDataLocal*User DataDefaultHistory"
},
{
"montype":1,
"action_type":15,
"res_path":"*AppDataRoamingMozillaFirefoxProfiles*"
}
]
},
{
"id":14,
"power":0,
"name":"QQ禁止遍历Local文件夹",
"procname":"QQ.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*AppDataLocal*"
}
]
},
{
"id":13,
"power":0,
"name":"Tim禁止访问浏览器历史记录（Chrome系列+Firefox）",
"procname":"Tim.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*AppDataLocal*User DataDefaultHistory"
},
{
"montype":1,
"action_type":15,
"res_path":"*AppDataRoamingMozillaFirefoxProfiles*"
}
]
},
{
"id":15,
"power":0,
"name":"Tim禁止遍历Local文件夹",
"procname":"Tim.exe",
"treatment":1,
"policies":[
{
"montype":1,
"action_type":15,
"res_path":"*AppDataLocal*"
}
]
}
]
}

不过最新版本已经去掉了读取history的相关代码，通过这件事让我会想到了10年前的3Q大战时候腾讯的公告和致歉信，如今这件事发生以后这个页面已经404了，腾讯公司曾经的致歉信已经找不到了 。
现在把这之前留存的截图附在文章后面 。



文章插图

• 吉娜|“月子期”复工！吉娜身材仍完美，网友：媳妇坐月子，老公胖成球
• 神经网|孩子大脑仅有三次喷井式发育，家长抓住一个，孩子智商赶超同龄人
• 家长|下架网络游戏受到家长力挺，孩子发出“灵魂拷问”，父母语塞了
• 网游公测（色卡司n7700）
• 结婚证|小夫妻结婚证“走红”，名字组合堪称神预言，网友：孩子叫口罩？
• 宝妈|“最碍事”的宝宝火了，被吃烧烤的爸妈放在包里，网友：心多大！
• 网上的恋爱挽回靠谱吗（他她情感挽回靠谱吗）
• 绿色蔬菜|怀孕8个月，产检被告知多条腿，娃生下全家乐了，网友反应很直接
• 暖心|妹妹被妈妈教训，哥哥实力“护妹”，网友：有一个暖心的哥哥真好
• 渣男渣女（网恋渣男特征）