QQ空间登陆协议分析-2014年8月

在做此工程之前当然也是参考了网上各位前辈的分析原理，最后实际上是分析很简单，但是代码的实现让我着实犯难，毕竟作MFC还没有实际开发过什么项目，敲代码的经验，水平都不是很好，不过最后还是花了一周的时间把这个QQ空间的登陆，留言，发表心情等，都做了出来，后来想着顺带着美化下界面的，于是发现了duilib这个东西，还上论坛发帖问了呢，结果还是不会在vc6上用它，最后的结果就是无果啦，想想还是不去钻这个牛角尖了，毕竟等了我换了这台E40后以后的IDE肯定是要换的，就不去想这些头疼的事了。

说多了，下面给出抓包分析的流程，以及最后总结出的清晰思路。好了，

直入主题：

先从抓包的参数说起：

GET /login?u="+m_qquin+"&verifycode="+m_vcode+"&pt_vcode_v1=0&pt_verifysession_v1="+verifysession+"&p="+encryptionPass+"&pt_rsa=0&u1=http%3A%2F%2Fqzs.qq.com%2Fqzone%2Fv5%2Floginsucc.html%3Fpara%3Dizone&ptredirect=0&h=1&t=1&g=1&from_ui=1&ptlang=2052&action=3-21-1408593390732&js_ver=10090&js_type=1&login_sig=登陆login_sig&pt_uistyle=32&aid=549000912&daid=5&pt_qzone_sig=1& HTTP/1.1\r\n";

（上面这段是我修改过的，自己定义的变量加进去的。）

参数分析：

u = 要登陆的qq号
verifycode = 验证码;
pt_verifysession_v1 = verifysession这个参数在获取验证码时返回的头文件当中
p = js文件中getEncryption()这个加密算法加密过的密码，此函数共三个参数，第一个是明文密码，第二个是转换后的16进制qq号码，以"/x"开头
login_sig = 这个参数应该不是特别重要的
其余参数保持不变即可,省略有可能会提示参数不完整

再说参数：verifysession
"GET /getimage?uin=QQ号码&aid=549000912&cap_cd="+cap_cd+"&0.7347680128262537 HTTP/1.1\r\n";
其中uin是qq号码，aid不需要改变，cap_cd是在检验账号是否需要输入验证码时得到的

再说参数：cap_cd
这个参数是在提交检验账号时的返回内容中checkVC的第二个参数，这个参数是获取验证码的重要参数。
"GET /check?regmaster=&uin=1096521157&appid=549000912&js_ver=10090&js_type=1&login_sig="+login_sig+"&u1=http%3A%2F%2Fqzs.qq.com%2Fqzone%2Fv5%2Floginsucc.html%3Fpara%3Dizone&r=0.38423943983814745 HTTP/1.1\r\n";
在这个请求当中，自己测试过，什么都不用改就可以，至于这个login_sig,可以从打开页面时的页面中找到，但是我测试随便给个值，最后依然成功登陆。

缕清思路之后，最后的步骤应该为：
1.请求验证账号是否需要输入验证码，返回checkVC中如果第一个参数为0表示不需要，为1则表示需要
2.从返回内容中提取checkVC第二个参数，cap_cd,该参数是作为获取验证码的重要项
3.向服务器请求获取验证码，返回的头文件中取得cookie值verifysession，此项是保证当前登陆和所获取验证码保持一致
4.调用js加密文件中getEncryption()，三个参数分别为：明文密码，转换后的十六进制qq号码，验证码
5.返回文件中第一个参数为0表示登陆成功，返回头文件中保存服务器返回的各项cookie留作后期使用
返回3表示账号密码错误，返回4表示验证码错误，返回7表示提交参数错误