QQ2013协议分析(三)0825 touch 1

QQ2013协议分析(三)0825 touch 1_第1张图片

1.1    0825 touch 10825

    有时候在抓包工具里可以看到两组本地4000端口发往服务器8000端口的数据,那是因为重定向的原因,不过貌似并非那么肯定,有时候重定向并非必须的,所以直接进入第二个包。

1.1.1 [2013/6/6 11:01:16:524] 发送

02

32 59//版本号

08 25//命令

5B 31//包序号

QQ//892844868

35 37 BB 44//固定,QQ版本号不同则不同

03 00 00 00 01 01 01 00 00 66 3F//固定

00 00 00 00 //固定

5A 85 19 D1 40 5E 39 B4 0D DA 56 E7 16 0F 02 40[王超1] //临时钥匙A

下面是加密数据:

B5 70 C1 0E 75 B8 6C 27 0E DF E2 8E A1 B709 26 3F 8A AB FD E7 B2 13 5C 2E 73 47 1C DB 4F 1B DF F0 3A 5C 8C 78 85 6E B0A6 8E BC A9 76 76 21 A5 01 38 FB BC 7E 14 42 AF E7 48 1D 54 42 1C 57 A2 EC 02C3 88 B0 D7 F2 DE 44 7B 9F 89 2C 7A 8E 3E 76 30 A3 E2 06 73 C5 9C FE 37 86 4E0A E1 BC 16 84 D3 41 55 F6 F3 1A BF

[

00 18 00 16 00 01 fixdata0

00 00 04 32 00 00 00 01 00 00 13 E1fixdata1

35 37 BB 44 QQ

00 00 00 00 03 09 00 08 00 01固定

未知/随机生成?

70 5F

F0 FC 00 01 00 36 00 12 00 02 00 01 00 0000 00

00 00 00 00 00 00 00 00 00 00 01 14 00 1D01 02 00 19 02 33 9D FE 69 8C 68 8F 8B DC E1 B7 59 51 18 24 29 EF D2 2E D7 0578 A2 24

]

03包尾


1.1.1 [2013/6/6 11:01:16:732] 接收

02

32 59

08 25

5B 31

35 37 BB 44 //QQ号码

00 00 00

以下是加密数据,用发送的那个key_0825_0

9F 76 78 EB E0 6E C0 1E 0B 09 29 D4 42 1C64 A5

C4 D4 98 0B F9 F8 3E 8B 39 0E 2E 9F 7F 9696 31

F5 4F 83 CC BB 5B DC 67 22 CF 5C D5 1B AB12 D4

AA 90 C8 24 66 4B F8 67 81 97 EF 0C C3 4774 DA

34 95 2E 2B 38 21 4D B2 E9 2F 2D 5B 14 7E5D BB

7C 24 FA 25 C4 5B FE 39 AB DA 79 43 B4 73DC 1B

C3 9C DB 25 ED EF A6 9A 49 AA 1A 05 63 E330 A6

45 77 47 77 14 27 5B AB

03

[

FE // 服务器IP需要中转..。。。其实根据接收的数据包大小就可以知道。需要中转的话接收的数据包是135的长度,不需要的话是111的长度

01 12

00 38 //0038token 3810进制是56,下面56的长度后就可以是下一个命令了,这些数据在 0826包都需要

83 2B C8 FB F4 6B DD EC BE FF 98 79 96 FEFA 66 0E 90 85 D1 F1 0B F8 02 ED 40 4B 05 B4 12 AE 5C D7 6E 05 9C 30 76 25 4EAA DD 18 61 03 47 51 FB 52 9E 0F FC AF E3 04 7C

00 17 00 0E 00 01 //固定了

51 AF FB 85 //这个是连接的时间2013-06-06 11:01:25

7C 80 E7 BE //偶的本机IP124.128.231.190

11 C4 00 00 00 0C 00 16 00 02 00 00 00 0000 09 00 00 00 00

70 5A 56 FB //中转的服务器IP112.90.86.251这里把解密出来的IP地址直接放到socketIP设置那里就可以了

00 00 00 00 00 00

]

r

你可能感兴趣的:(逆向分析,QQ协议分析)