V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zzl
V2EX  ›  问与答

TIM 消息被监控劫持

  zzl · 2018-04-11 10:19:52 +08:00 · 11437 次点击
这是一个创建于 2397 天前的主题,其中的信息可能已经有所发展或是发生改变。

用 TIM 聊天,同事给我发了一个 chrome 插件链接,在我的 TIM 里面显示的竟然是某区块链币的地址,同一条消息显示的还不一样,我的电脑怎么了,除了腾讯还有其他人在监控我的 TIM 啊。

TIM 图片 20180411101314.png

TIM 图片 20180411101324.png

第 1 条附言  ·  2018-04-11 11:28:37 +08:00

看了各位大佬的留言,感觉这是个大问题,客户端的话应该是正版的,没有从第三方处下载过,另外我发现我手机TIM上的消息也是这样的,手机没有用wifi,和电脑不是在一个网络里,那么,问题到底出现在哪里? 手机截图

第 2 条附言  ·  2018-04-11 11:29:22 +08:00
第一次发带图的,没有很好控制图片大小,各位见谅
第 3 条附言  ·  2018-04-11 12:42:50 +08:00

同事手机TIM的消息截图

同事手机TIM的消息截图

现在我这边是手机和电脑TIM都收到的是垃圾链接,同事的电脑TIM消息记录里显示的是正确的链接,同事手机TIM显示的是垃圾链接。
目前各电脑手机TIM安装的都是正版,没有安装第三方的,至于为什么消息的消息跟发出的消息不一样,我也不知道。
我的标题好像起的有点夸大,一不小心整了个大新闻
图片说明:

  1. 图1是我电脑TIM的消息截图
  2. 图2是同事电脑TIM消息截图
  3. 图3是我手机TIM消息截图
  4. 图4是同事手机TIM消息截图
76 条回复    2018-04-17 11:18:22 +08:00
zzl
    1
zzl  
OP
   2018-04-11 10:40:01 +08:00
使用火绒杀毒也没显示中毒,已经决定周末重装下系统了
icy37785
    2
icy37785  
   2018-04-11 10:47:28 +08:00 via iPhone
这个劫持有点意思。坐等楼下大佬分析成因。
kingmo888
    3
kingmo888  
   2018-04-11 10:47:40 +08:00
有没有可能是对方的问题呀,粘贴板之类的。
dong3580
    4
dong3580  
   2018-04-11 10:49:01 +08:00
@kingmo888
消息内容直接变了,意思就变了。。。
lution
    5
lution  
   2018-04-11 10:51:53 +08:00
Mac QQ 同样出现过几次这样的问题
ThirdFlame
    6
ThirdFlame  
   2018-04-11 10:51:54 +08:00
这个劫持 厉害了。
RiESA
    7
RiESA  
   2018-04-11 10:53:36 +08:00
有没有办法复现啊?不太可能是全程劫持吧,是什么触发的
clare0621
    8
clare0621  
   2018-04-11 10:54:17 +08:00   ❤️ 2
这个劫持怎么做到的。楼主别急着重装系统,保留犯罪现场啊。
jasonyang9
    9
jasonyang9  
   2018-04-11 10:55:01 +08:00
厉害了
Microi
    10
Microi  
   2018-04-11 10:55:54 +08:00   ❤️ 1
有点可怕。
DT27
    11
DT27  
   2018-04-11 10:56:02 +08:00
消息过程没加密被运营商劫持了?
客户端不是官方的,被修改了?
ender049
    12
ender049  
   2018-04-11 10:59:24 +08:00
有意思,等等看有高手来解答下不
ThirdFlame
    13
ThirdFlame  
   2018-04-11 11:00:03 +08:00
@DT27 信息传送不加密 这个估计不可能吧。 严重怀疑某一方的客户端不是官方的。
Zeonjl
    14
Zeonjl  
   2018-04-11 11:07:51 +08:00 via Android
这个建议细细找出原因,再分享一下应对(可能)的方式
DT27
    15
DT27  
   2018-04-11 11:07:59 +08:00
楼主,把你俩的客户端打包发上来~
nfroot
    16
nfroot  
   2018-04-11 11:09:43 +08:00   ❤️ 1
如果你在 2 个设备上都显示错误的 URL (因为聊天记录会同步),那说明是对方设备的故障,你当然查毒没用了。

如果你在另一个设备上聊天记录和对方的 URL,则是你设备的问题。

不需要盲目的查毒和操作系统和怀疑。
maskerTUI
    17
maskerTUI  
   2018-04-11 11:20:55 +08:00
手机上同步一下记录,看手机上同步出来的 url 是什么
miyuki
    18
miyuki  
   2018-04-11 11:22:39 +08:00 via Android
手机看下记录
zzl
    19
zzl  
OP
   2018-04-11 11:32:19 +08:00
@nfroot 两个设备上都显示错误,手机和电脑都是错误的地址,但是对方的 TIM 聊天记录里显示他发的是正确的链接,到我这里却变成错误的链接了,难道是他发送的时候网络中间给修改了?
crs0910
    20
crs0910  
   2018-04-11 11:32:22 +08:00 via Android
很可能是你同事的客户端问题
3a3Mp112
    21
3a3Mp112  
   2018-04-11 11:32:42 +08:00
如果不是客户端 QQCalloe.exe 被修改了,那就是 QQ 通信协议被破解了。
ThirdFlame
    22
ThirdFlame  
   2018-04-11 11:33:28 +08:00
@zzl 让对方登陆下手机端,看聊天记录。 如果还是错的。 说明他的客户端出问题了。
FFLY
    23
FFLY  
   2018-04-11 11:35:20 +08:00
大概率你同事客户端,这种如果是中间网络的锅,那就是运营商级的,大新闻的节奏。
agostop
    24
agostop  
   2018-04-11 11:35:53 +08:00
跟网络有关系吧

你第一张截图是电脑上的,第二张截图是哪里的?
hotsun168
    25
hotsun168  
   2018-04-11 11:36:56 +08:00 via iPhone   ❤️ 4
多年前分析过 QQ 协议,是 TEA16,前几个包协调 key,后续全部是 key 加解密。
如果是中间截流改包,则是分析了协议,从一开始就把 key 拿到了。
如果是对方客户端,可能是截取了发出去的消息,发出之前做了修改,但保持原始值呈现到客户端界面。
sunzhenyucn
    26
sunzhenyucn  
   2018-04-11 11:41:01 +08:00 via Android
只有卧槽能表达我此时的心情
zzl
    27
zzl  
OP
   2018-04-11 11:41:14 +08:00
@agostop 上面的是电脑 TIM 的截图,下面的是我手机 TIM 的截图
geying
    28
geying  
   2018-04-11 11:43:49 +08:00
有意思,坐等大佬分析,话说不是对方客户端的问题?中途篡改应该不是那么容易吧
agostop
    29
agostop  
   2018-04-11 11:44:57 +08:00
我是说主贴里面,不是贴了两张图么,两张图里的链接不同,是在一个网络下产生的吗?
x86
    30
x86  
   2018-04-11 11:47:24 +08:00 via iPhone
问题出在哪就没搞清就说监视你 TIM
csx163
    31
csx163  
   2018-04-11 11:49:33 +08:00
如果你手机和电脑一致,估计就是对方的问题了
zzl
    32
zzl  
OP
   2018-04-11 11:51:30 +08:00
@agostop 上面一张是我这边的聊天记录,下面一张是对方那边的聊天记录
NCry
    33
NCry  
   2018-04-11 11:51:44 +08:00 via iPhone
按我的理解来看,主贴里面一个是楼主的消息记录,一个是楼主同事的消息记录
liujunsheng
    34
liujunsheng  
   2018-04-11 11:56:33 +08:00   ❤️ 1
应该是对方的问题,发的包被拦截修改了
whoami9894
    35
whoami9894  
   2018-04-11 12:33:13 +08:00 via Android
先 mark,坐等大佬破案
ThirdFlame
    36
ThirdFlame  
   2018-04-11 12:43:20 +08:00
append 显示的 手机里面看到的记录也是 错误的。 说明信息发送出来的时候就被修改了, 当然也有可能发送的网络劫持修改了(这个概率太低了,难度太大了)。
个人感觉 对方客户端的问题更大。
F1024
    37
F1024  
   2018-04-11 12:44:31 +08:00   ❤️ 1
你同事电脑被劫持了 不是你
zzl
    38
zzl  
OP
   2018-04-11 12:47:23 +08:00
@ThirdFlame 装的都是正版 TIM 呢,不过我的安卓手机,他的苹果手机
mokeyjay
    39
mokeyjay  
   2018-04-11 12:47:47 +08:00
应该是对方客户端问题
zzl
    40
zzl  
OP
   2018-04-11 12:49:22 +08:00
@F1024 有可能,目前他电脑的消息显示是正确的链接,但是发出来之后,我这边收到的都是垃圾链接,他手机 TIM 显示的也是垃圾链接
huijian222
    41
huijian222  
   2018-04-11 12:54:07 +08:00
有点恐怖。。
ThirdFlame
    42
ThirdFlame  
   2018-04-11 12:57:59 +08:00
@zzl 和手机无关,现在腾讯存的记录就是错误的,说明发送出来的就是错误连接。
无非只有发送端电脑有病毒被劫持了,要不就是发送出来的时候网络劫持修改了,这两种可能性。

如果腾讯发送的消息被人劫持修改了,这真的是业界安全的大新闻了。 个人认为这个难度 实在太高了。
所以发送端软件问题(有病毒、tim 被修改等)可能性更大。

建议可以再发送 复现下,同时用手机客户端发送 对比测试。
mickeyandkaka
    43
mickeyandkaka  
   2018-04-11 13:09:43 +08:00
mark
weyou
    44
weyou  
   2018-04-11 13:21:08 +08:00 via Android
用不着劫持 tim 这么麻烦,用插件劫持浏览器或者剪贴板就可以做到修改分享的链接啊
jinya
    45
jinya  
   2018-04-11 13:34:58 +08:00 via Android
m
zzl
    46
zzl  
OP
   2018-04-11 13:35:48 +08:00
@ThirdFlame 嗯,有可能是电脑端的 tim 中毒了
zzl
    47
zzl  
OP
   2018-04-11 13:59:37 +08:00
@ThirdFlame 无法复现,找不到问题所在了,就那么一次,之后再发没有出现异常
zzl
    48
zzl  
OP
   2018-04-11 14:00:05 +08:00
@lution 你也遇到过??找到原因了吗
uucloud
    49
uucloud  
   2018-04-11 14:15:30 +08:00
你同事的电脑是什么系统,挂代理了吗,用的代理是什么,是第三方还是自建
kysoft
    50
kysoft  
   2018-04-11 14:45:06 +08:00
这应该是对方的问题
iPhone8
    51
iPhone8  
   2018-04-11 15:06:11 +08:00 via iPhone
你同事电脑中毒了,从发出去那一刻已经被改了,所以他手机和你的手机电脑都一样是垃圾链接
mengyaoss77
    52
mengyaoss77  
   2018-04-11 15:10:23 +08:00
有点混乱。

第二张图为什么聊天的两个人的头像都跑到左边去了? 这是群聊吗
jy02201949
    53
jy02201949  
   2018-04-11 15:16:13 +08:00
同事手机也显示垃圾链接,那肯定是同事电脑出问题了,查吧
SourceMan
    54
SourceMan  
   2018-04-11 15:18:53 +08:00
同事电脑中毒了
从:同事手机 + 楼主电脑 /手机 均显示垃圾信息 可得出结论
cnkuner
    55
cnkuner  
   2018-04-11 15:35:23 +08:00 via Android
多年以前的 QQ 尾巴又出来了?
hyq
    56
hyq  
   2018-04-11 17:38:53 +08:00
@mengyaoss77 把窗口最大化就行
aice114
    57
aice114  
   2018-04-11 19:16:19 +08:00
万一只是 腾讯的服务器突然错误了呢
suzic
    58
suzic  
   2018-04-11 19:20:55 +08:00 via Android
如果你同事电脑没问题的话,那就太厉害了
hard2reg
    59
hard2reg  
   2018-04-11 20:33:51 +08:00
明显是同事的锅。。。
towser
    60
towser  
   2018-04-11 20:45:29 +08:00
如果是是同事被劫持那这个劫持和篡改很厉害,本地显示原文发送出去的是篡改后的内容。
Hconk
    61
Hconk  
   2018-04-11 20:45:47 +08:00 via Android
这劫持厉害了,等大佬分析
HuangLibo
    62
HuangLibo  
   2018-04-11 20:53:24 +08:00
你跟其他人发一个链接试试, 然后再让你同事给其他人发链接试试.
blackhacker
    63
blackhacker  
   2018-04-11 21:15:38 +08:00 via Android
多发几次同一个链接看看 能复现么?
agee
    64
agee  
   2018-04-11 21:32:51 +08:00
腾讯的消息,是多次加密的,出了客户端,就不太可能被修改,这种情况 90%可以确实是发消息的客户端有问题或者发消息的电脑有问题,在发之前被修改了。
1stPLACE
    65
1stPLACE  
   2018-04-11 21:43:56 +08:00
怕是用了什么绿色精简版 TIM 之类的,也不用大惊小怪,类似套路黑网吧的 QQ 见得多了
0915240
    66
0915240  
   2018-04-11 23:45:32 +08:00
有点意思。
sigaritus
    67
sigaritus  
   2018-04-12 08:37:48 +08:00
瑟瑟发抖。。
it1989
    68
it1989  
   2018-04-12 08:50:43 +08:00
持续关注……
wolong
    69
wolong  
   2018-04-12 08:57:54 +08:00
这个厉害,信任的朋友发的链接都不敢点了。
lianxiben
    70
lianxiben  
   2018-04-12 09:20:14 +08:00
这个,真的有点震惊了。。。坐等大佬解释
nodeath
    71
nodeath  
   2018-04-12 09:47:33 +08:00
楼主麻烦把你同事发的链接贴出来测试下
zzl
    72
zzl  
OP
   2018-04-12 11:04:50 +08:00
keivenliao
    73
keivenliao  
   2018-04-12 15:41:12 +08:00
很有可能是发送方有木马监控了剪贴板,如果是 http 则替换内容。
yshtcn
    74
yshtcn  
   2018-04-12 22:06:20 +08:00   ❤️ 1
其实再仔细看一下几张截图就非常明显了:
同事手机,题主的手机,题主的电脑都是被替换的信息。说明发出去的就是被替换的信息。所以所有从服务器上拉取的信息都是被替换的信息。
在这样的基础上,我认为不需要破解 QQ 的发送协议,只需要在发送时替换信息,并且篡改本地 QQ 聊天记录的数据库即可。
qiuyingzhao
    75
qiuyingzhao  
   2018-04-13 16:13:27 +08:00
@zzl 我是腾讯,能否加一下我 QQ 756000003,我们看是否有病毒样本。
williamx
    76
williamx  
   2018-04-17 11:18:22 +08:00
你同事中毒了
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2733 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 14:42 · PVG 22:42 · LAX 07:42 · JFK 10:42
Developed with CodeLauncher
♥ Do have faith in what you're doing.