QQ協议分析之TCPF包数据分析.doc

QQ协议分析之TCPF包数据分析 本文档说明的是解密以后的TCPF数据包的字段内容。有关如何解密，请参阅有关的其它文档。分析的结果，是基于QQ 2003 (0808) 内部代码 0A 1D的版本。 0x0022，登录命令 发送方：客户端 样本： 000: 4A 35 5D 6E AE DB FA 9C 008: 96 BE 19 7E A3 E2 B2 48 016: 00 00 00 00 00 00 00 00 024: 00 00 00 00 00 00 00 00 032: 00 00 00 3A 30 9B 69 60 040: A8 32 73 B2 22 1F AA 65 048: 6C 09 F8 01 0A 3A 0D 30 056: 92 CD 77 AB 42 B9 BC 64 064: 9F 17 57 D4 C3 000 - 015: 用户QQ密码的 MD5 的 MD5 作为密钥，对空字串进行加密的结果。0A 1D版的TEA算法采取了随机PADDING的方式，所以这个数字每次看起来都不同。但是解密以后总是空字符串。 016 - 016: 总是 0x00。 017 - 020: 以前为IP地址，现在为全零。不知道具有互联网IP的机器是否有真正的地址。 021 - 022: 以前为端口号，现在为全零。 023 - 051: 不明含义，总是相同。 052 - 052: 登录模式。0A为正常方式，28为隐身。 053 - 068: 应该是和机器相关的识别号，在相同的机器上总是相同。 响应方：服务器 成功登录的样本： 000: 00 61 42 58 45 55 6B 58 008: 7A 42 57 36 78 6E 49 41 016: 59 01 82 5D 90 40 E7 A7 024: E3 0F A0 7F 00 00 01 1F 032: 40 3F 51 22 DA 03 0A 5B 040: 83 50 D2 91 55 AE FC 3A 048: 5B D4 E9 31 97 C5 85 13 056: 64 6B 30 0A CE F1 33 3D 064: 8D C2 CF 1F 40 3D AC F9 072: 8E 1F 40 00 00 1C BB 67 080: 00 CB 49 E6 FF B6 FB 01 088: 97 41 6E 96 30 48 76 48 096: EF B8 1D 1E 5A EA EB E9 104: AB 00 4A 23 D2 00 00 00 112: 00 00 00 00 00 00 00 00 120: 00 40 E7 A7 E3 3F 51 22 128: 91 00 00 00 00 00 00 00 136: 00 000 - 000: 成功登录应该为0。 001 - 016: 以后通信的密钥。 017 - 020: 登录的QQ号码。 021 - 026: 服务器检测到的客户端的IP地址和端口号。 027 - 032: 127.0.0.1:8000，应该是服务器检测到自己的IP和端口号？作用不明。 033 - 036: 本次登录时间？ 063 - 068: 一个端口为8000的IP地址，作用不明。 069 - 074: 一个端口为8000的IP地址，这个地址就是DTPF协议组通讯的服务器。 075 - 076: 总是０，应该为分隔。 109 - 120: 总是０。 121 - 124: 客户端的IP。（上次登录的IP？） 125 - 128: 上次登录退出时间？ ... 129 - 136: 总是0。 其它：未知。 密码错误的样本（用Random Key解密）： 000: 02 C3 DC C2 EB B4 ED CE 008: F3 A3 A 000 - 000: 密码错误: 02。001 - 010: 字符串“密码错误！”，GB18030 编码 要求转到其它服务器登录（未观察到，根据perl-OICQ的资料）： 000 - 000: 转到新服务器：01。 001 - 004: 请求的QQ号。 005 - 008: 新的服务器IP。 009 - 010: 新的服务器端口号。 0x0001，注销命令： 发送方：客户端（连续发送4次） 样本： 000: 42 80 D8 9A 5A 03 F8 12 008: 75 1F 50 4C C1 0E E8 A5 000 - 015: QQ密码的 MD5 的 MD5。 0x001D，未知命令： 发送方：客户端，在登录成功后发送。而且总是连发两个。 第一个样本： 000: 03 000 - 000 ：总是03，应该是子命令。