qq防撤回补丁IM.dll的异常行为
本帖最后由 1062807258wang 于 2019-9-29 09:21 编辑在https://www.52pojie.cn/forum.php?mod=viewthread&tid=818213&fromguid=hot和https://www.52pojie.cn/thread-897069-1-1.html下的qq防撤回补丁QQ9.0.X,QQ9.1.X版。两个版本具有相同的异常行为。如下所示:
时间 操作 说明 次数
2019-07-25 20:56:55 [自动阻止] 创建BITS任务 防护 11 次
动作:创建BITS任务
风险文件:D:\QQ\BIN\IM.DLL
2019-07-25 10:08:32 [自动阻止] 修改 驱动/服务 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\QPCORE\
注册表内容:2
风险文件:D:\QQ\BIN\IM.DLL
2019-07-24 14:26:31 [自动阻止] 修改 QQ文件 防护 6 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\AUTEMP\2067933328\NEWUPD\TXUPD.EXE
动作:试图修改
路径:D:\qq\txupd.exe
不再提醒(0x5d37fa17)
2019-07-24 14:26:04 [自动阻止] 修改 文件关联 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUHANDLERS\QQSHELLEXT
注册表内容:
进程:C:\Windows\System32\regsvr32.exe
父进程:C:\Windows\SysWOW64\regsvr32.exe , (0)
时间 操作 说明 次数
2019-07-24 14:26:04 [已阻止] 修改 文件关联 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUHANDLERS\QQSHELLEXT
注册表内容:
进程:C:\Windows\SysWOW64\regsvr32.exe
父进程:D:\QQ\BIN\QQEXTERNAL.EXE , (103)
风险文件:D:\QQ\BIN\IM.DLL
不再提醒(0x5d37f9fc)
风险文件:D:\QQ\BIN\IM.DLL
不再提醒(0x5d37f9fc)
2019-07-24 14:25:07 [已阻止] 修改 系统运行的重要文件 防护 1 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\TEMP\QQSAFEUD.EXE
动作:重命名
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\tssafeedit.dat.bak
风险文件:D:\QQ\BIN\IM.DLL
不再提醒(0x5d37f9c3)
2019-07-24 14:24:49 [自动阻止] 修改 QQ文件 防护 11 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\TEMP\QQSAFEUD.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f9b1)
2019-07-24 14:24:43 [自动阻止] 修改 QQ文件 防护 5 次
详细描述:
进程:D:\QQ\BIN\QQ.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f9ab)
2019-07-24 14:24:23 [自动阻止] 修改 QQ文件 防护 11 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\TEMP\QQSAFEUD.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f997)
风险文件:D:\QQ\BIN\IM.DLL
2019-07-24 14:24:20 [自动阻止] 修改 QQ文件 防护 5 次
详细描述:
进程:D:\QQ\BIN\QQ.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f994)
修改qqprotect驱动,修改TSSafeEdit.dat文件(https://www.52pojie.cn/thread-288289-1-1.html,https://www.win7qjb.com/news/1338.html)。修改后打开QQ会有qqedit的窗口弹出且无法关闭。自己修改的补丁没有这些异常。也有可能是数字签名被破坏而不被杀软信任。
怕出问题就不要用。我用了连晋的补丁,一点问题都没有,https://attach.52pojie.cn/forum/201811/21/150406ekn9k7kmnc7xb3h7.png就这样会盗号? 看不懂看不懂{:1_923:} 本帖最后由 1062807258wang 于 2019-9-29 17:08 编辑
lu_ 发表于 2019-7-24 17:40
怕出问题就不要用。我用了连晋的补丁,一点问题都没有,就这样会盗号?
我把它可疑行为都禁止了,防撤回功能依旧有效。IM.dll它修改更新文件我没意见,但它修改账号安全有关的东西我不能不管。 1062807258wang 发表于 2019-7-24 18:13
我也用的这个,我把它可疑行为都禁止了,防撤回功能依旧有效。IM.dll它修改更新文件我没意见,但它修改和 ...
哵笑掉大牙了,自己修改的也怕就不要学习逆向,这里边看到的才是真实世界。 本帖最后由 1062807258wang 于 2019-9-29 17:09 编辑
冥界3大法王 发表于 2019-7-24 18:19
哵笑掉大牙了,自己修改的也怕就不要学习逆向,这里边看到的才是真实世界。
能自己修改最好 liphily 发表于 2019-7-24 17:40
这不是拦截的QQ的自动更新和后台广告吗?
再说了,第一个作者贴出修改位置了,你不放心,就照着把防撤回的 ...
我现在没有确凿的证据,你说的我都认同。可能就是我想多了,抱歉
页:
[1]