首页
社区
课程
招聘
[原创][网络协议分析][QQ协议]接收聊天信息分析[Friedriech0001]
发表于: 2009-3-3 22:10 34970

[原创][网络协议分析][QQ协议]接收聊天信息分析[Friedriech0001]

2009-3-3 22:10
34970

由于导师的要求,我做网络协议分析开发工作已经有2年时间了。对于主流的IM都有研究。很早以前我就在看雪论坛注册了,不过发现搞网络分析的人太少了就很少发帖。最近看加百力也是搞网络分析的,发了一篇分析QQ的帖子得了精华于是也想发帖交流一下,万一版主开恩也给个精华我也可以升级了。哈哈。

前面加百力已经分析了QQ发送聊天信息的协议,想必很多人都看过了。这里我就顺着继续写下去也节约一些时间,我毕竟还是很懒得发贴的人。

还是那两个问题:
01、如何确定某个数据包包含有接收到的QQ信息?
02、如何得到会话密钥?

会话密钥就不用多说了。加百力已经说过了。

关键是第一个问题,一般QQ接收到的含有对方发来消息的数据包格式为:
0000:   02    QQ数据包开头都是02
0001 -  0002  10 00:  这两个字节本来代表QQ版本号,但是腾讯显然不希望也不需要接受者知道对方的QQ版本号就始终设置为10 00。如果想知道就自己解密吧,后面再说这个。
0003 -  0004  00 17:  QQ命令。前面说过发送消息的QQ命令为00 16。而接收为00 17也很好记忆。
0005 -  0006  2字节的序列号。
0007 -  倒数第二字节: 为加密的接收信息数据。除了聊天内容还有丰富的信息,后面详细说明。
最后一个字节  03 QQ数据包结束标志为03。刚好和前面的02呼应。

找接收数据包的判断条件是:QQ命令为00 17。不过这只是一个粗糙的判据。服务器也经常用这个格式发送一些信息等等。所以找到的未必全是对方发送给你的消息。呵呵。

找到之后拷贝整个数据块到QQDebugger解密文本框中。然后去掉首尾的无用信息解密。(搞错了可解不出来的!)

前面说了这个解密信息内容很丰富,加百力前面只是分析得到了发送出去的消息。其实那个发送数据包里面的东西也很丰富。

对于接收到的数据包解密后大体是这样的结构:

发送者QQ号,4字节

接收者QQ号,4字节

包序号(并非我们发送时候的序号,因为这个是4字节,应该是服务器端的总序号)

发送者IP,如果是服务器转发的,那么ip就是服务器ip, 4字节

发送者端口,如果是服务器转发的,那么就是服务器的端口,2字节

消息类型,是好友发的,还是陌生人发的,还是系统消息等等, 2字节

发送者QQ版本,2字节:想得到对方QQ版本号的从这里得到。

发送者的QQ号,4字节

接受者的QQ号,4字节

MD5处理的发送方的UID和Session key,16字节

普通消息类型,比如是文本消息还是其他什么消息,2字节

会话ID,2字节,如果是一个操作需要发送多个包才能完成,则这个ID一致

发送时间,4字节,time_t类型数据。用加百力的方法用PETool查看可以看到时间。

发送者头像,2字节

是否有字体属性,4字节,有一般是0x00000001

8字节固定内容。一般为0。

消息的分片数,1字节。大多数消息都比较短这个数据就是1,分一片。

分片序号,1字节,从0开始。经常是0。

消息id,2字节,同一条消息的不同分片id相同

消息类型,这里的类型表示是正常回复还是自动回复之类的信息, 1字节。正常回复为01。

消息正文,长度 = 剩余字节数 - 包尾字体属性长度

字体属性

所以不管你想要什么就可以自己计算偏移量就是了。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (24)
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
工具用加百力发的那些足够了。我就不贴图了。因为实在太危险了!

周星驰说过:地球是很危险的!还是回到火星去吧。

如果你是搞网络分析的,你会知道每次登录,每次发邮件都会有很大的风险!

回寝室睡觉去了!
2009-3-3 22:15
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
3
写的不错。内容很详细特别是对解密后数据的分析。
2009-3-4 20:03
0
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
4
很牛的学术研究工作
2009-3-4 20:13
0
雪    币: 293
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
精辟!哈哈!
2009-3-4 22:55
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
呵呵, 这个0017/0016 的动作还是没怎么变啊,跟我原来做的分析中的一样
2009-3-4 22:57
0
雪    币: 111
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
有机会是得搞下网络协议了
2009-3-4 23:22
0
雪    币: 411
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
补充分析得不错。谢谢。
2009-3-5 10:14
0
雪    币: 82
活跃值: (10)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
9
支持一下.

让我惊奇的是无壳无码的那么多人天天用的软件,分析的文章可是难得一见.
2009-3-5 10:19
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
10
网络分析还是个相当有趣的工作。经常还有意外的发现。呵呵。
2009-3-5 20:12
0
雪    币: 2604
活跃值: (64)
能力值: (RANK:510 )
在线值:
发帖
回帖
粉丝
11
我发现网络分析确实是个比较少人研究的方向。往往有特殊需要才作。或者为了排除网络故障。
2009-3-5 20:13
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
搞网络分析的确实比较少。
不过很有趣,还能知道很多别人不知道的安全隐患。
2009-3-6 20:32
0
雪    币: 53
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
顶一个~~~~
2009-3-9 11:36
0
雪    币: 202
活跃值: (151)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
mark,3Q!!!
2009-4-24 15:52
0
雪    币: 279
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
15
很好的学习资料
2009-4-24 20:54
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
加百力的那个帖子在哪里,可否发个链接
再有一个问题想请教一下,楼主一般用什么方法进行网络协议分析,有没有分析过数据库的协议
希望能提供点方法和思想,谢谢
2009-4-29 21:23
0
雪    币: 324
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
QQ抓包学学更加好!
2010-3-25 09:29
0
雪    币: 116
活跃值: (56)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
一、 QQ2008 Touch包0x91
a) 0x2aa8 客户端
原始数据:
02 11 5b 00 91 2a a8 38 25 f5 91 5d 4c af 65 54 44 6d 76 7b ff f0 14 73 e6 0a 95 9d 74 ce b3 b5 fd 61 1d 12 84 a5 04 53 3c b1 d4 f9 27 9c 7c 3f ef f0 bb 3c dc 3f 0f 25 ee 3d 7c 03

QQ2008包头:
02 11 5b
命令:
00 91
序号:
2a a8
QQ号码:
38 25 f5 91 (十进制:我的Q,942011793)
临时钥匙A:
5d 4c af 65 54 44 6d 76 7b ff f0 14 73 e6 0a 95 (随机生成)
加密QQ2008数据:
9d 74 ce b3 b5 fd 61 1d 12 84 a5 04 53 3c b1 d4 f9 27 9c 7c 3f ef f0 bb 3c dc 3f 0f 25 ee 3d 7c
QQ2008包尾:
03

解密QQ2008数据(临时钥匙A):
00 01 (CSP_wRedirectCount)
01 (CSP_cRedirectCount )
00 00 00 02 (CSP_dwConnIspID )
00 00 00 00 (CSP_dwServerReserve )
DB 85 31 A9 (CSP_dwConnIP)
第一次发送该包时,这里的数据全部为0

b) 0x2aa8 服务器
原始数据:
02 11 5b 00 91 2a a8 ef a7 fc 36 e7 5e f5 df a9 6e e0 e6 5a ba e4 84 03

QQ2008包头:
02 11 5b
命令:
00 91
序号:
2a a8
加密QQ2008数据:
ef a7 fc 36 e7 5e f5 df a9 6e e0 e6 5a ba e4 84
QQ2008包尾:
03

解密QQ2008数据(临时钥匙A):
00 00 ( Success )

二、 QQ2008登录令牌0x62
a) 0x221d 客户端
原始数据:
02 11 5b 00 62 22 1d 38 25 f5 91 00 03

QQ2008包头:
02 11 5b
命令:
00 62
序号:
22 1d
QQ号码:
38 25 f5 91
数据:
00
QQ2008包尾:
03

b) 0x221d服务器
原始数据:
02 11 5b 00 62 22 1d 00 18 d3 19 45 57 28 1f 56 dd a6 dd be c1 67 2e 32 92 b9 ee ea 81 65 03 68 8d 03

QQ2008包头:
02 11 5b
命令:
00 62
序号:
0x221d
令牌0x62长度:
00 18
令牌0x62数据:
d3 19 45 57 28 1f 56 dd a6 dd be c1 67 2e 32 92 b9 ee ea 81 65 03 68 8dQQ2008包尾:
03

三、 QQ2008登录令牌0xba
a) 0x221d客户端(连发3次)
原始数据:
02 11 5b 00 ba 22 1d 38 25 f5 91 3f 6b e0 82 c8 e2 82 ca a8 5f f6 ee 00 4b 91 3b 47 65 a5 0a 64 2e 37 a9 65 1f 0b d5 fd 37 84 bf 38 bf ab 64 9c 04 5e c6 37 37 b0 d0 f3 de e3 0f a9 54 4a 6f 84 fc a6 37 e6 33 1d 9e 4e b8 65 35 03

QQ2008包头:
02 11 5b
命令:
00 ba
序号:
0x221d
QQ号码:
38 25 f5 91
临时钥匙B:
3f 6b e0 82 c8 e2 82 ca a8 5f f6 ee 00 4b 91 3b
密文:
47 65 a5 0a 64 2e 37 a9 65 1f 0b d5 fd 37 84 bf 38 bf ab 64 9c 04 5e c6 37 37 b0 d0 f3 de e3 0f a9 54 4a 6f 84 fc a6 37 e6 33 1d 9e 4e b8 65 35
QQ2008包尾:
03

解密QQ2008数据(临时钥匙B):
18 (令牌0x62长度)
D3 19 45 57 28 1F 56 DD A6 DD BE C1 67 2E 32 92 B9 EE EA 81 65 03 68 8D (令牌0x62数据)
03 (如果是发送验证码,这里为04)
00 05(普通登陆)
00 00 00 00
00 (如果需要验证码,这里填1,和服务器包的“表示有验证码数据”一致,具体见myqq源代码)
00 00(0)
b) 0x221d 服务器(登录令牌)1
原始数据:
02 11 5b 00 ba 22 1d 4d 3e 4b 31 6d ab de 96 b0 52 f3 3d 93 b8 3d 3b c4 92 2c cb 6c 4c 6d ff d5 96 7d 18 48 68 b6 b8 21 5b d8 b2 13 76 4f 63 8b f8 97 9f 36 4f 26 bd 03

QQ2008包头:
02 11 5b
命令:
00 ba
序号:
22 1d
加密QQ2008数据:
很长。。
QQ2008包尾:
03

解密QQ2008数据(临时钥匙B):
03 00 05
00(1表示有验证码数据)
00
20 (令牌c长度)
90 E2 42 7F 2F D4 E3 54 31 76 BA E5 6E A3 39 42 31 DE 2A FF AA 3A CC 36 79 1E 9B 69 69 27 25 F2(令牌c数据)

c) 0x221d 服务器(登录令牌)2
原始数据:
02 11 5b 00 ba 22 1d e1 6e bd c8 c6 cf 80 e3 fe e7 26 c0 e3 29 ab 2a 05 4d 7f 3c 74 5e 9c ba d9 6a eb 44 53 ae a2 b1 81 7b 49 b3 9e 9f 46 bb d6 14 4b 90 54 e9 13 a6 03

QQ2008包头:
02 11 5b
命令:
00 ba
序号:
22 1d
加密QQ2008数据:
很长。。
QQ2008包尾:
03

解密QQ2008数据(临时钥匙B):
03 00 05 00 00 20 DF 5E 3F 96 09 7B 7F 7D B6 D7 76 7B 5C 47 8A A6 70 31 4D 36 B6 01 CC B6 C3 1F 6F 4B D1 B9 3B 02
分析同上

d) 0x221d 服务器(登录令牌)3
四、QQ2008密码验证0xdd
a) 0x221d 客户端
原始数据:

02 11 5b 00 dd 22 1d 38 25 f5 91 82 57 80 fb d9 c2 2c 72 3f 6b e0 82 c8 e2 82 ca 08 73 ec e7 85 de 34 40 ab ea 4f fa 43 46 fe 1c 04 0a 32 ac 43 d1 5a ab 9a 0f eb be 0c 2b d3 3a c4 c4 8b 76 b4 8d 04 0d 48 07 35 e6 7e 37 47 c9 4d 92 f4 28 47 da 9e 5f ac 6d 12 a6 63 1f fb dc 9b 0c f8 4e 6a ad 10 3a 8f b3 3f 1f 70 1e ca 87 78 4f 2a c0 7c c9 d0 44 69 69 a5 58 e3 6a 23 c7 30 a1 4f 51 9c 3b 6c 53 a6 b6 c1 6e ed 8e 5c d9 03

随机钥匙:
82 57 80 fb d9 c2 2c 72 3f 6b e0 82 c8 e2 82 ca
密文:
08 73 ec e7 85 de 34 40 ab ea 4f fa 43 46 fe 1c 04 0a 32 ac 43 d1 5a ab 9a 0f eb be 0c 2b d3 3a c4 c4 8b 76 b4 8d 04 0d 48 07 35 e6 7e 37 47 c9 4d 92 f4 28 47 da 9e 5f ac 6d 12 a6 63 1f fb dc 9b 0c f8 4e 6a ad 10 3a 8f b3 3f 1f 70 1e ca 87 78 4f 2a c0 7c c9 d0 44 69 69 a5 58 e3 6a 23 c7 30 a1 4f 51 9c 3b 6c 53 a6 b6 c1 6e ed 8e 5c d9
解密QQ2008数据(包中的随机钥匙):
00 5F 00 00
08 04 (Local ID)
01 E0 (Timezone Offset Min)
20 (令牌c长度)
90 E2 42 7F 2F D4 E3 54 31 76 BA E5 6E A3 39 42 31 DE 2A FF AA 3A CC 36 79 1E 9B 69 69 27 25 F2 (令牌c数据)
00
20 (密码验证串长度)
B6 88 A7 F6 13 DE 95 8B 0E 60 1C 52 F1 E2 6B 62 FD EA 6D EB 54 10 8F D5 F1 6F 80 E5 75 76 81 2F (密码验证串数据)
00
14 (令牌s长度)
43 DA 31 66 F1 1B 40 A0 FA A8 CB 80 BD 69 BD DB (位置,随机可以)
14 D2 60 C4 (上16字节的CRC32校验码,校验失败,则TX封IP,下次登陆需要验证码了)
00
03 (剩余字节长度)
00 (总是0)
37 1A(密码进行1次md5的结果的第二三字节)

密码验证串经密码钥匙解密后得:
1C 37 1A 16 53 8C 69 E8 6A B2 EB 96 62 AD 88 DA (密码进行1次md5的结果)
00 00 (总是0)
15 A8(验证码p,应该是随机的)

b) 0x221d 服务器
原始数据:
02 11 5b 00 dd 22 1d cb a2 18 53 92 84 c4 1f ac 47 a2 fe ed e1 3a f7 e2 75 b2 3b 88 78 33 9d 42 b9 cf 12 07 7d 21 29 ea 36 ea d7 c4 9d 75 45 b4 85 92 45 54 de 4c 68 0d c9 6d 4c a2 c5 45 f1 61 8a 7a dd 3c b1 f9 7c 93 a0 b2 ee d7 3e dd 72 14 c2 3c 50 a0 f0 63 0f df 4f 87 f3 58 ec 0a ef c3 13 53 4d b4 e8 55 c3 3a 96 f2 dc d1 69 f9 a1 e6 e7 fc cb 23 66 b7 5a 5c c3 0c 95 b6 be 86 dc ac b3 40 03 e1 15 b4 3d d3 b6 02 c7 d3 60 59 0e a9 7b b7 72 f1 55 59 a1 c0 cb f8 8b e4 71 30 5d e8 6a 57 fb 96 3d 8b d8 51 55 84 4e dd 4e b1 36 03
00 97 00 00 00 15 a8 00 20 77 50 8b 34 d2 c1 40 cc cb df c7 96 ac c5 f9 f6 cc b5 26 63 73 b4 db f4 f8 4e e7 89 00 05 c5 6f 00 20 6c 3c 40 26 53 5c 30 56 96 c2 4f 29 21 8c f8 c3 b8 d2 a5 53 08 13 28 e3 a6 b6 88 61 a6 78 f6 40 00 38 c1 46 a7 f2 c9 cc b0 3b 76 7e c4 93 7b ef 8c 17 6b ab 3d 78 0f d6 26 b3 5b e4 7b d4 ac ab d5 f3 96 03 5a 54 74 8b db 86 ca f3 fb bd 39 ac f4 14 c8 53 96 ba fb 77 ce ee
77 39 48 75 47 53 75 57 70 7a 65 70 65 48 35 46 00 00 00 00 00 00
解密QQ2008数据(密码钥匙):
00 97 00 00 00 (未知,固定)
15 A8(验证码p)
00
20
2A D0 7D 70 18 8D F9 70 3C DA 49 91 34 D9 DA D0 51 4D C0 83 49 71 FD 9D FB 8C 52 89 D4 74 00 EF
00
20 (数据U长度)
BE 86 4C F0 FA 79 D0 AF 8D D3 87 BE 55 02 FC B3 F0 E7 53 43 F9 7B 56 25 3A F5 BE 34 29 33 3F A7 (数据U)
00
38 (数据V长度)
5A D5 08 72 EA 98 FA 39 42 76 3B 82 40 8F 7C 9B 73 5A 6A E8 55 57 C6 B8 21 03 8A AC C2 D6 38 6D 22 91 1E C4 27 2F 3F 8A 61 53 97 E7 7C 97 F6 50 49 A9 EC 1D 8A 31 8D 6A (数据V)
70 64 49 50 4B 6E 75 36 34 64 71 6B 38 41 62 6E (0x22使用的临时钥匙W)
00 00 00 00 00 00(总是0)

五、QQ2008未知命令0x18
a) 0x221d客户端
原始数据:
02 11 5b 00 18 22 1d 38 25 f5 91 00 38 5a d5 08 72 ea 98 fa 39 42 76 3b 82 40 8f 7c 9b 73 5a 6a e8 55 57 c6 b8 21 03 8a ac c2 d6 38 6d 22 91 1e c4 27 2f 3f 8a 61 53 97 e7 7c 97 f6 50 49 a9 ec 1d 8a 31 8d 6a 2d 3f 99 3f da 37 ad fa 20 d7 bf 04 f2 ca 25 0e 4a 06 0f aa 0a a2 0c 83 8c 54 89 e1 53 dd df 67 df de 20 de 41 11 f5 c6 b7 1c 29 c6 15 36 6a 72 36 c9 1a 43 4d 5d 25 1d 68 27 5e 84 09 8d fe ff 94 cb 47 0a 40 cd da d1 6b b1 9f 45 89 f9 32 95 6f ed 06 1d b7 bb a9 cc 3a 58 ed 82 09 a9 bc 05 fc 9a 50 fb 1f c6 56 45 a2 d7 ec 45 a0 6f cb d1 56 b8 eb 13 83 00 e7 54 1a ad 73 20 7c bc c3 5c 07 4d 26 56 4f b1 15 be fd 71 b3 3d 5d 92 22 91 49 32 ab fd 32 b4 50 b6 e4 24 76 8d ab b2 44 b2 e6 a2 54 38 5e b1 d9 dc 72 0a 55 73 26 87 7c 99 9f ba 49 18 88 60 e6 b3 45 aa d4 d2 77 bf 8e fd ea a6 c7 c8 c1 ca f6 6a 82 6a f6 69 2e f3 28 5e 2f c6 fd a7 27 a1 84 26 7e 13 59 f4 90 dc f1 88 b8 e3 73 d7 a6 3a 35 83 b4 ed 8d 19 5f 4f 16 e9 a9 ce 09 3a be 54 cf 90 74 5e 83 0d 52 61 5d bb 76 63 2d 73 59 3f 05 b4 18 5d 36 d4 c6 af d5 ea 77 5a 48 6f fd 4b c8 4e 32 9c bf 15 cd 8d 4b 57 18 fd a3 1e 1d 4f b4 14 24 8b 87 8b a3 2d 1c ac d3 3f f2 9a 1c 35 42 f3 a2 91 74 47 96 cd 5e f5 0e c5 e8 e0 b5 66 ec 04 77 da 76 45 40 ca 1a 49 6f 51 58 10 65 e1 85 48 a4 68 81 36 b5 80 5d 36 ff 4d 1c 4e 3c 1a a3 4c 27 50 f4 ec dd 42 7d fd 62 b4 f4 41 62 72 45 ee 92 9c e7 de 68 e7 ec 9d 77 10 2b b3 d5 ea 83 31 72 06 49 a3 0a de 71 e3 d8 82 53 4a f5 87 91 b5 80 30 95 8f d2 83 8e 9d 03

QQ2008包头:
02 11 5b
命令:
00 18
序号:
22 1d
QQ号码:
38 25 f5 91
数据V长度:
00 38
数据V:
5a d5 08 72 ea 98 fa 39 42 76 3b 82 40 8f 7c 9b 73 5a 6a e8 55 57 c6 b8 21 03 8a ac c2 d6 38 6d 22 91 1e c4 27 2f 3f 8a 61 53 97 e7 7c 97 f6 50 49 a9 ec 1d 8a 31 8d 6a
加密QQ2008数据:

QQ2008包尾:
03
解密QQ2008数据(临时钥匙W):
00 4D 00 00 08 04 01 E0 (未知)
20 (令牌c长度)
90 E2 42 7F 2F D4 E3 54 31 76 BA E5 6E A3 39 42 31 DE 2A FF AA 3A CC 36 79 1E 9B 69 69 27 25 F2(令牌c数据)
00 00 00 (未知)
20 (令牌n长度)
73 16 D9 A1 53 CE 38 CA 6B 06 CF 28 FF 02 B4 62 13 AF 5A 5E 29 0A D0 58 A7 30 7B 25 24 95 BF B0 (令牌n)
00 00 00 00 01 3F 00 (未知)
BF AA CA BC B5 DA D2 BB B4 CE BA C5 C2 EB D7 A2 B2 E1 B5 C7 C2 BC 2E 2E 2E 2E 2E 2E CA B1 BC E4 5B 32 30 30 38 2D 30 32 2D 32 34 20 31 37 3A 32 33 3A 31 30 5D 0D 0A 09 B3 F5 CA BC BB AF B5 C7 C2 BC B7 FE CE F1 C6 F7 C1 D0 B1 ED A3 AC C9 CF B4 CE B5 C4 B5 C7 C2 BC B7 BD CA BD CE AA A1 BE B3 F5 CA BC B5 C7 C2 BC B7 BD CA BD A1 BF 0D 0A 09 55 44 50 B7 FE CE F1 C6 F7 A1 BE 73 7A 2E 74 65 6E 63 65 6E 74 2E 63 6F 6D 3A 38 30 30 30 A1 BF D0 E8 D2 AA D3 F2 C3 FB BD E2 CE F6 2E 2E 2E 0D 0A 09 55 44 50 B7 FE CE F1 C6 F7 A1 BE 73 7A 33 2E 74 65 6E 63 65 6E 74 2E 63 6F 6D 3A 38 30 30 30 A1 BF D0 E8 D2 AA D3 F2 C3 FB BD E2 CE F6 2E 2E 2E 0D 0A 09 55 44 50 B7 FE CE F1 C6 F7 A1 BE 73 7A 36 2E 74 65 6E 63 65 6E 74 2E 63 6F 6D 3A 38 30 30 30 A1 BF D0 E8 D2 AA D3 F2 C3 FB BD E2 CE F6 2E 2E 2E 0D 0A 09 55 44 50 B7 FE CE F1 C6 F7 A1 BE 73 7A 37 2E 74 65 6E 63 65 6E 74 2E 63 6F 6D 3A 38 30 30 30 A1 BF D0 E8 D2 AA D3 F2 C3 FB BD E2 CE F6 2E 2E 2E 0D 0A 09 55 44(318字节的字符串,内容为:开始第一次号码注册登录......时间[2008-02-24 17:23:10]
初始化登录服务器列表,上次的登录方式为【初始登录方式】
UDP服务器【sz.tencent.com:8000】需要域名解析...
UDP服务器【sz3.tencent.com:8000】需要域名解析...
UDP服务器【sz6.tencent.com:8000】需要域名解析...
UDP服务器【sz7.tencent.com:8000】需要域名解析...
UD


b) 0x221d 服务器
原始数据:
02 01 00 00 18 22 1d ef d0 f9 c4 86 77 96 03 f6 9a bc a2 c8 b3 6b 0a e0 b3 ae 6b cb 8a 7a 93 05 5a ab 2c 0d 41 8f e3 c0 60 e8 eb f4 cc bf b2 e3 56 06 43 d8 be a0 68 03

解密QQ2008数据(密码钥匙):
00 1E 00 00 00 1A 82 (未知)
00
(下面开始为好友和群列表)
12 3A 12 CA (号码:305795786)
01 (好友)
00
15 4C 8F 9C (号码:357339036)
01 (好友)
00
1C 9F 85 A1 (号码:480216481)
04 (群)
00
1C AA 5D 98 (号码:480927128)
04 (群)
00
00 00

六、QQ2008登录0x22
a) 0x2227 客户端
原始数据:
02 11 5b 00 22 22 27 38 25 f5 91 00 38 5a d5 08 72 ea 98 fa 39 42 76 3b 82 40 8f 7c 9b 73 5a 6a e8 55 57 c6 b8 21 03 8a ac c2 d6 38 6d 22 91 1e c4 27 2f 3f 8a 61 53 97 e7 7c 97 f6 50 49 a9 ec 1d 8a 31 8d 6a 69 51 98 e3 4e a1 ca de 8d 74 80 ea dc 33 2b 04 42 6a 80 df 1b 34 3b 94 2b 61 b3 88 ca 1e 4f dd f3 a9 1c e5 45 6e 88 ef b0 a9 78 50 b2 75 bd 09 9d da 25 b8 5c 2b 23 a8 45 c6 b2 cf 0e 23 e8 d5 0a 70 3a 36 0a d4 db c8 08 68 ca 79 45 c5 5f 92 90 95 88 a6 7b 1d c8 ab 9a 37 cb 65 d6 6b cc 0d aa 3e 60 ee a5 1e 07 49 03 4d 54 e7 02 cb 52 8f 74 e3 3d b8 49 73 6b 7d ac 5d d0 b2 63 7b c3 5b 98 f1 20 05 0e 37 93 9a 71 88 2d a8 a6 e0 20 61 76 bf 29 17 77 9a 7f 0b ad ef c8 ec c1 eb 46 0a 07 79 68 f1 c9 7a 04 07 03 a7 33 45 7e 10 50 0c 67 2a 73 44 5d 86 88 30 ce cc a9 1b 0c ce 05 fb 3e 55 8e 81 42 d9 e6 1f bc 2e 1c b7 75 a8 70 4a 1b 6e 9c 72 3a ac 9c 22 e8 c3 75 0e c4 ac 0e 91 02 c0 1e 7b fe dd 4f d2 9d 83 83 5e a2 06 dc f9 00 3c 38 c3 87 9e be fe 6e 96 e1 96 b1 b1 13 97 b8 c9 f3 82 0a 1f 72 c0 b9 cd 81 0e d8 e1 66 8c 1b c4 3d 2b 31 db 84 73 07 e6 16 1c 1a 79 9b 16 b4 13 06 26 d4 1f dc 89 46 05 6b 8b e2 30 80 d0 9e c6 5e 92 32 2d 54 7c 3e 38 ee 68 55 6c 8f b8 3b dc 05 5f ef 58 07 e3 c8 88 07 57 0f 0c 2a f4 d4 e7 b7 9a 50 f7 79 05 66 e7 d9 cc d5 12 52 f2 cf 2f 8b 8d 35 e0 05 ea 96 28 f8 a9 e5 20 d4 7f 9b 2a 50 e8 49 61 26 3b d5 e0 e0 6c 36 99 c3 7e 90 89 dc 42 8c d6 66 5c cb 1b 6b b2 a3 50 f4 31 72 09 d0 dc c4 99 70 dc 66 bd 41 81 f9 a1 1d 63 b6 3f a1 ba 71 9f 95 b9 56 02 16 2a 0d 29 15 78 36 ae 37 9f 7a 9a fb 6d a4 f1 11 2f a0 71 79 27 08 ba bb b9 e1 ef b1 b9 95 a0 db ae 16 dc a3 92 b5 b5 9e 11 68 76 1e 41 49 13 f4 4c e8 04 52 22 86 ad f7 2f 70 29 4f 41 5b be 32 34 5d 0d eb 7f 4b 33 93 ed b1 1d b2 0b 10 8a 86 1b 61 f0 b3 4f 03

QQ2008包头:
02 11 5b
命令:
00 22
序号:
22 27
QQ号码:
38 25 f5 91
数据V长度:
00 38
数据V:
5a d5 08 72 ea 98 fa 39 42 76 3b 82 40 8f 7c 9b 73 5a 6a e8 55 57 c6 b8 21 03 8a ac c2 d6 38 6d 22 91 1e c4 27 2f 3f 8a 61 53 97 e7 7c 97 f6 50 49 a9 ec 1d 8a 31 8d 6a
加密QQ2008数据:

QQ2008包尾:
03
解密QQ2008数据(临时钥匙W,解密后大小为495字节):
00 (回复码)
00 00
20 (数据M长度)
30 11 35 32 3C 16 91 EF 05 7A 80 BC 6A 98 9B D4 DB 67 CC D5 4A 8F 69 BE B2 38 37 BF A1 38 6C 06 (数据M)
2C 8A 45 A8 02 7E 5C CD 44 33 76 AA 2F 7D F9 BD (密码的两次md5对空串加密得到的key T)
00 (charSecond)
00 00 00 00 (dwLanUdpIP)
00 00 (wLanUdpPort)
00 00 00 00 (dwBuildVer)
00 00 00 00 (dwOEM)
00 00 00 00 (dwLanguage)
(这19字节总是0)
1D C9 C4 BC BF DF D6 8C 80 16 EB D0 9A 96 F3 27 (QQ.exe程序文件的md5 Key Y)
F9 (本地QQ索引,把T和Y连成串,取当前QQ程序运行进程数目与该串每一字节进行异或操作,得到这个结果。具体可以自己用ida分析。)
0A (登录模式,0A表示正常登录,28表示隐身登录)
00 00 (wSpNo)
00 00 00 00 (dwKbNo)
00 00 00 00 (dwLoginFlag)
(未知10字节,不一定总是0)
00 01 (CSP_wRedirectCount)
01 (CSP_cRedirectCount )
00 00 00 02 (CSP_dwConnIspID )
00 00 00 00 (CSP_dwServerReserve )
DB 85 31 A9 (CSP_dwConnIP)
(Touch包解密后的内容)
94 0B 73 7A A2 51 F0 4B 95 2F C6 0A 5B F6 76 52 (LocalComputerGUID,注册表HKLMSOFTWAREQQ)
20 (令牌c长度)
90 E2 42 7F 2F D4 E3 54 31 76 BA E5 6E A3 39 42 31 DE 2A FF AA 3A CC 36 79 1E 9B 69 69 27 25 F2 (令牌c)
00 00 00 06 00 00 00 00 00 00 01 40
01
1B 02 84 50 (机器相关)
00
10 (长度)
2D 49 15 55 78 FC F3 D4 53 55 60 9C 37 9F E9 59 (机器相关)
00 00 00 00 00 00 00 00 00 00 (同之前的10字节,不一定都是0)
00 01 01 00 00 00 02 00 00 00 00 DB 85 31 A9 (这里也是Touch包解密后的内容)
02
68 E8 07 83(机器相关)
00
10 (长度)
3B CE 43 F1 8B A4 2B B5 B3 51 57 F7 06 4B 18 FC (机器相关)
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00(249字节0)
(总是0,估计是填充到定长)

数据M用密码钥匙解密后:
1C 37 1A 16 53 8C 69 E8 6A B2 EB 96 62 AD 88 DA (密码进行1次md5的结果)
00 00 (为0,rand()返回的是16字节吧)
0E AC(随机验证码)

b) 0x2227 服务器
注意,因为已经登录了,在接收这个包之前可能有其他例如接收消息的包发过来。
原始数据:
02 11 5b 00 22 22 27 97 03 0c 5c 94 84 61 78 0f cf 52 18 e2 18 72 5a 35 3f b1 2d 91 2d 73 5b b9 2d f4 58 65 bb b7 ed 95 19 90 a9 5a 90 25 53 e9 12 36 e3 1d 1d 97 00 5e 84 6a a3 bb cb e5 42 b3 0b ff 74 2a 4a 9c d2 95 fe ee 99 11 ea a8 20 48 43 fa 8b f2 92 17 5e ce 54 5b 61 eb f9 2b 68 8a 42 10 bb a6 80 3b f4 50 61 ab 54 a8 76 23 f6 42 98 34 aa 99 94 1a 52 b4 07 99 4d 00 5e d2 27 2e 5c a9 05 a4 26 2c a4 61 c0 c5 bb d8 bc 2e f3 e0 f3 2f 7e ca 62 69 f9 e5 79 aa 14 de bd 1c 9f 41 03 04 e5 64 18 5f 47 0a 30 2b b3 eb 88 a0 76 f1 6b 56 5b 68 a2 ca 73 14 05 0a 55 99 84 7d 5b b7 de 01 32 01 78 a9 64 85 af 12 00 2f df ef ba f4 7f ca 0a e1 12 6d 18 27 5d 28 18 25 82 70 90 10 9b c2 98 ae 05 a8 86 ca 59 96 fc 0e 23 85 fa 12 83 cb 1a d8 a7 2b f6 22 db 20 d0 04 9e 07 c3 9b fc 55 ff e6 b9 d8 06 3a d9 97 14 00 c7 59 86 02 b0 5e c8 d4 be f7 e8 ce 1d 33 ff 71 fd 2f d5 1b 0b 33 5e 9f a4 6b fa c6 f9 b3 79 59 30 41 a2 03

解密QQ2008数据(密码钥匙):
00 (登录成功)
66 41 55 74 51 38 74 57 58 66 42 59 62 4A 46 55 (16字节会话钥匙,以后的数据都用这个加密解密)
38 25 F5 91 (QQ号码)
7D 5A 9D 19 (外网IP)
C6 F7 (外网端口)
7F 00 00 01 (本地IP 127.0.0.1)
1F 40 (本地端口8000)
47 C1 38 65 (本次登录时间,我捕捉到的这个好像还要加上15小时才是本地时间,好奇怪。)
03 (未知,固定)
0A (登录模式)
00 00 (未知)
0E AC 18 4D 8A 27 44 3C 52 42 20 B9 51 06 5B 68 18 DA CA 6E 1C E5 D9 8B F0 8B (未知26字节)
00 00 00 00 (IP)
1F 40 (端口)
DA 55 8A 49 (IP)
1F 40 (端口)
00 81 (未知,通常是这个值)
40 (未知)
00 00 00 00 00 (未知)
E3 B7 4B D0 F1 22 A1 43 DD DE F4 40 2C AB 02 65 D7 84 75 2D F0 4B DF 2E E7 41 B3 49 E3 9A AF A5 (未知32字节)
00 00 00 01 00 00 00 00 00 00 00 40 (未知12字节)
DD 58 F6 48 (未知,变化)
47 C1 38 35 (上次登录时间)
47 BF 90 E7 (未知时间)
47 A6 B7 42 (QQ注册时间)
00
0A 00 0A 01 00 00 0E 10 01 14 8F FE 4F BB B4 23 84 00 00 00 00 00 00 00 00 00 00 00 00 00 08 02 04 08 08 08 08 08 04 02 (未知40字节,固定)
00
28 (长度)
1F 03 2E 5D 3F 62 DB 6E AA F4 EC AB F1 8D 5F 2F 1F 63 2E 8E 02 0C EF 10 8C 94 81 78 3A D6 28 8C FB 60 71 18 38 4F 81 7A (未知40字节)
00
30 (长度)
B0 C8 D6 4F 73 90 85 DD F3 18 D2 F5 EA 0F 0C E5 5D 0A 38 CC 08 69 52 22 19 36 58 0B 4A 09 6F 54 98 D9 97 7D 25 23 C0 E6 D7 0C C7 3F A8 11 D5 29 (未知48字节,变化)
3A 3D 20 F2(服务器IP)

七、QQ2008注销0x01
a) 0x2248 客户端
原始数据:
02 11 5b 00 01 22 48 38 25 f5 91 00 60 31 cd ee 5f 18 f0 64 70 82 eb 29 93 c0 a6 d5 23 5a 84 cb b9 9c be ec 47 d3 e6 73 ff df d9 03

QQ2008包头:
02 11 5b
命令:
00 01
序号:
22 48
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
B7 A6 F7 A5 13 4B 31 CF 21 92 76 06 93 F8 54 9A(钥匙,(昵称+QQ号码)的md5,20080304)

八、QQ2008获取钥匙0x1d
a) 0x2227 客户端
原始数据:
02 11 5b 00 1d 22 27 38 25 f5 91 b3 a3 b4 1c 9f 35 99 c8 6a ba e6 d9 24 49 72 40 03

QQ2008包头:
02 11 5b
命令:
00 1d
序号:
22 27
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
04(子命令:文件中转钥匙)

b) 0x2227 服务器
原始数据:
02 11 5b 00 1d 22 27 b2 88 24 e6 d4 fa da 23 af 6a 16 21 a1 8e 54 bf 3a b1 4c ee 03 b4 94 0c ed bb 71 c3 e2 5a 5b 5a dc 74 9e 6b 2c 24 aa ad 12 fe 91 b9 e1 9c 18 aa 74 17 cd 9f 3e 24 33 17 51 1a 99 3a 18 32 25 71 bf cc 8e 45 9a db a6 57 01 ab 1c 3c 1e 23 f7 08 3b d5 e0 45 79 72 9d 4a 18 80 8e f8 fe d6 5b 72 c5 27 58 a7 a7 3a a0 fb 03

解密QQ2008数据(SessionKey):
04 (子命令)
00 (成功)
4E 56 59 53 49 47 4B 47 6D 41 63 36 70 67 64 77 (钥匙04)
00 00 00 00 00 00 00 00 (未知)
00 00 00 40 (未知)
38 (令牌04长度)
0E A6 9E EB A5 10 CC 87 15 A1 14 00 43 1E 24 9C 60 C8 65 C0 7D B3 3A EF F2 41 53 62 E4 BD B7 97 29 E4 7A BD 0D B0 27 33 F9 D9 B5 94 7C 0F 95 B4 96 07 09 E2 E6 1B B4 94 (令牌04数据)
00 81 00 00(未知)

c) 0x2229 客户端
原始数据:
02 11 5b 00 1d 22 29 38 25 f5 91 48 ac 3b a8 ca 6a d3 28 7b e2 f9 b8 fc 93 d8 51 03

QQ2008包头:
02 11 5b
命令:
00 1d
序号:
22 29
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
07(子命令:未知key)

d) 0x2229 服务器
原始数据:
02 11 5b 00 1d 22 29 d4 ec ba 3e 16 dd 63 f6 c1 3a 97 d0 71 12 82 ea 95 21 80 62 1d 5a 08 24 0d 16 fc 01 97 40 3a ae 91 b2 0c be d7 86 17 d5 be c3 ee 3f 7c f4 bf 71 16 c5 ba e4 90 30 52 07 b5 5c 94 5e 96 05 f6 82 7c fb ea 76 a7 88 d8 7c db 88 90 26 8a 0b 06 2a 96 b2 e9 af 3b 6e b1 63 19 af 0b 98 6c 68 56 4d f2 d6 f1 22 fb df 78 c8 03

解密QQ2008数据(SessionKey):
07 (子命令)
00 (成功)
57 37 39 4D 51 6D 65 76 62 4E 74 61 46 41 33 39 (钥匙04)
00 00 00 00 00 00 00 00 (未知,常是)
00 00 00 40 (未知,常是)
38 (令牌04长度)
28 5B 74 AA 80 4D 69 AF 19 C4 B0 B6 67 6F 04 63 6F F7 B4 B0 F3 66 0D 96 04 B6 AB AC EE AF 2E 3F 1F 24 CF AF 4E 83 B8 2F 82 CA 67 26 DA 88 58 A6 62 A4 52 04 A8 95 16 0C (令牌04数据)
00 81 00 00(未知,常是)

八、QQ2008消息提示0xd4
a) 0x2227 客户端
原始数据:
02 11 5b 00 d4 22 27 38 25 f5 91 1b 79 05 8f 6e 16 5c b7 31 18 f2 96 7e 9e 2f 06 03

QQ2008包头:
02 11 5b
命令:
00 d4
序号:
22 27
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
38 25 F5 91 (自己的QQ号码)

b) 0x2227 服务器
原始数据:
02 11 5b 00 d4 22 27 76 cd c3 7f 17 7a a6 20 2c b5 ff 6c 3c 9f fe 9c 7e 34 ad de 5d eb a6 50 61 ba dd 05 de eb a7 60 0f 2e 47 50 a2 7d d1 72 25 dc 52 6f 20 47 77 bc aa d3 2a 0e a9 9f 8a b7 ad d1 92 06 12 e5 c8 b3 10 17 99 a2 e1 14 57 31 e7 16 9b 54 c4 f3 14 04 3b d3 8f f8 cb 81 3d 75 ee 3e 92 11 58 b3 32 6c 92 db c2 87 95 79 dc 23 c4 9f 6e 86 23 c0 4e e8 bf c7 06 c4 34 5a d7 98 b0 2e b1 84 b5 41 cb 91 c4 be 21 03 72 cd 91 f2 60 3e 8e d1 aa 9c 60 9c 19 d3 29 4e ba 4b 4a 04 ef 2d c8 07 61 d9 df 5a fd a5 30 10 2b 25 85 c3 1b 70 4c e9 81 53 b6 df 12 ba f5 1b 68 02 7c 2b 03

解密QQ2008数据(SessionKey):
00 01 (未知)
00 28 (未知)
00 02 21 B9 83 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 02 02 25 B9 83 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 02 00 07 01 1B 58 23 28 01 F4 00 03 00 04 00 00 00 02 00 05 00 04 00 00 03 84 00 06 (未知)
00
53 (消息长度)
3C 6D 73 67 20 74 79 70 65 3D 22 30 22 3E 3C 74 65 78 74 3E BD BB CC B8 D6 D0 C7 EB CE F0 C7 E1 D0 C5 BB E3 BF EE A1 A2 D6 D0 BD B1 CF FB CF A2 A3 AC CE F0 C7 E1 D2 D7 B2 A6 B4 F2 C4 B0 C9 FA B5 E7 BB B0 A1 A3 3C 2F 74 65 78 74 3E 3C 2F 6D 73 67 3E (消息内容:
<msg type="0"><text>交谈中请勿轻信汇款、中奖消息,勿轻易拨打陌生电话。</text></msg>

00 04 00 0A 00 04 04 C1 04 CB 04 CD 04 C7

c) 0x2228 客户端
原始数据:
02 11 5b 00 d4 22 28 38 25 f5 91 d8 98 fe 11 14 99 16 11 8e 55 96 8e ed be 57 1f 76 c2 17 50 53 a7 f0 38 03

QQ2008包头:
02 11 5b
命令:
00 d4
序号:
22 28
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
38 25 F5 91 (自己的QQ号码)
00 07 00 08 (未知)

d) 0x2228 服务器
原始数据:
02 11 5b 00 d4 22 28 a9 78 05 25 82 d4 c2 29 21 e5 11 ca 00 75 25 98 ce ee f2 30 3d 15 5e d3 eb 01 61 3d 45 8a 03 2d dd 1d 14 ea 05 63 3d 25 80 78 00 dd 1c 9d 1e 67 88 0c e7 ac 84 f3 69 ce b2 c6 2d 6d 00 7c 66 93 6f 0a 22 90 57 95 79 c2 b8 86 a0 c6 cd a5 af ee 0d 9e da 67 70 5a b7 1b 35 a5 d8 9c 83 8a bf cf 7d b2 4e a7 ae e2 92 f6 03

解密QQ2008数据(SessionKey):
00 07
00
53 (消息长度)
3C 6D 73 67 20 74 79 70 65 3D 22 30 22 3E 3C 74 65 78 74 3E BD BB CC B8 D6 D0 C7 EB CE F0 C7 E1 D0 C5 BB E3 BF EE A1 A2 D6 D0 BD B1 CF FB CF A2 A3 AC CE F0 C7 E1 D2 D7 B2 A6 B4 F2 C4 B0 C9 FA B5 E7 BB B0 A1 A3 3C 2F 74 65 78 74 3E 3C 2F 6D 73 67 3E(消息内容:
<msg type="0"><text>交谈中请勿轻信汇款、中奖消息,勿轻易拨打陌生电话。</text></msg>


八、QQ2008获取用户信息0x06
e) 0x2227 客户端
原始数据:
02 11 5b 00 06 22 27 38 25 f5 91 84 ed 00 40 90 d8 c2 58 bf 1a f4 e4 31 38 01 49 80 c0 62 29 9b 42 ac 99 03

QQ2008包头:
02 11 5b
命令:
00 06
序号:
22 27
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
39 34 32 30 31 31 37 39 33 (自己的QQ号码的字符串形式:942011793)

f) 0x2228 服务器
原始数据:
02 11 5b 00 06 22 27 46 5b ca a9 ee d7 ac 96 4a 92 72 97 71 78 32 a5 05 75 cb 33 38 97 92 82 ec a0 62 56 60 39 f8 c2 42 92 1e 6c 25 91 ff 97 63 96 bd b6 fe d4 d0 5f 0b 48 18 34 d4 33 cd e9 15 1a ee 7e a2 3d c4 cb 99 a5 7b e2 6f 74 43 da 08 d8 da c4 46 b5 01 66 9e 0d fe 4d 03 d9 b0 f8 31 07 f4 fe c6 bc 0d 01 0f 9c 89 c5 6b f3 c6 03 98 85 2d c2 88 d2 1a 9f 03

解密QQ2008数据(SessionKey):
用户信息用1E来分隔。
39 34 32 30 31 31 37 39 33 (942011793)
1E
54 75 78 (Tux)
1E
D6 D0 BB AA C8 CB C3 F1 B9 B2 BA CD B9 FA(中华人民共和国)
1E
B9 E3 B6 AB (广东)
1E
(邮政编码)
1E
(联系地址)
1E
(联系电话)
1E
32 31 (21)
1E
C4 D0 (男)
1E (真实姓名)
1E 1E 1E 1E 1E 1E 1E 1E 1E
31 (1)
1E 1E 1E
30 (0)
1E 1E 1E 1E
D4 C6 B8 A1 (云浮)
1E
2D (-)
1E
2D (-)
1E
30 (0)
1E
30 (0)
1E
30
1E 1E
30
1E
30
1E
30
1E
38 33 38 38 36 30 38
1E
31 33 30 32 32 30 32 38 39
1E
30
九、QQ2008IP报告0xda
a) 0x2227 客户端
原始数据:
02 11 5b 00 da 22 27 38 25 f5 91 b7 51 d5 54 0b a3 71 43 21 b5 23 5a fa 34 71 4b 58 0c 50 2b c0 03 a8 db 03

QQ2008包头:
02 11 5b
命令:
00 da
序号:
22 27
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
02 02 00
48 F6 58 DD (未知数,经常变化)
47 C1 38 35 (上次登录时间:+15=Sun Feb 24 16:26:13 2008)
08 03(未知)

b) 0x2227 服务器
原始数据:
02 11 5b 00 da 22 27 85 1f 63 66 6f ee d4 d5 fc a7 05 16 be e3 60 84 03

解密QQ2008数据(SessionKey):
02(未知)
样本2:
02
01
00 13 (Length)
cd ed c9 cf ba c3 2c d7 f0 be b4 b5 c4 d3 c3 bb a7 24 32 (String: 晚上好,尊敬的用户$2)
02
00 20 (Length)
08 ba c5 c2 eb b9 dc c0 ed 16 68 74 74 70 3a 2f 2f 61 63 63 6f 75 6e 74 2e 71 71 2e 63 6f 6d 2f (String: 号码管理 http://account.qq.com/)
03
00 04
00 00 00 05
10 00 0d
00 09
c9 cf b4 ce b5 c7 c2 bc 3a (String: 上次登录:)
00
00 11
00 58
20 04 ce b4 d6 aa 13 68 74 74 70 3a 2f 2f 73 61 66 65 2e 71 71 2e 63 6f 6d 2f 3d c8 e7 d0 c5 cf a2 d3 eb ca b5 bc ca b2 bb b7 fb a3 ac c4 fa b5 c4 51 51 d5 ca ba c5 bf c9 c4 dc b1 bb b5 c1 d3 c3 a3 ac c7 eb b2 e9 c9 b1 c4 be c2 ed ba f3 d0 de b8 c4 c3 dc c2 eb a1 (String: 上次登录:意大利 http://safe.qq.com/=如信息与实际不符,您的QQ帐号可能被盗用,请查杀木马后修改密码)
20 00
0d
00 09
20 20 20 20 20 20 20 20 20 (String: )
00 00
21
00 14
20 10 32 30 30 38 2f 30 35 2f 31 32 20 32 32 3a 32 31 00 00 (String: 2008/05/12 2 :28)
30 00
0d
00 09
b1 be b4 ce b5 c7 c2 bc 3a (String: 本次登录: )
00 00
31
00 7d
20 0c b9 e3 b6 ab ca a1 d4 c6 b8 a1 ca d0 28 68 74 74 70 3a 2f 2f 69 70 2e 71 71 2e 63 6f 6d 2f 63 67 69 2d 62 69 6e 2f 61 75 74 6f 6c 6f 67 69 6e 3f 75 72 6c 3d 31 45 b1 be b4 ce b5 c7 c2 bc 49 50 3a 36 31 2e 31 34 36 2e 31 35 39 2e 31 0d 0a b5 e3 bb f7 d0 de d5 fd b8 c3 b5 d8 c0 ed d0 c5 cf a2 0d 0a bb b6 d3 ad c4 fa b2 ce bc d3 cc da d1 b6 49 50 b7 d6 cf ed bc c6 bb ae (String: 广东省云浮市(http://ip.qq.com/cgi-bin/autologin?url=1E本次登录IP:61.146.159.1
点击修正该地理信息
欢迎您参加腾讯IP分享计划)
40
00 5c
40 3d c8 e7 d0 c5 cf a2 d3 eb ca b5 bc ca b2 bb b7 fb a3 ac c4 fa b5 c4 51 51 d5 ca ba c5 bf c9 c4 dc b1 bb b5 c1 d3 c3 a3 ac c7 eb b2 e9 c9 b1 c4 be c2 ed ba f3 d0 de b8 c4 c3 dc c2 eb a1 1b 68 74 74 70 3a 2f 2f 73 61 66 65 2e 71 71 2e 63 6f 6d 2f 70 72 6f 64 75 63 74 2f 00(String: 如信息与实际不符,您的QQ帐号可能被盗用,请查杀木马后修改密码?http://safe.qq.com/product/)
十、QQ2008改变当前状态0x0d
a) 0x2227 客户端
原始数据:
02 11 5b 00 0d 22 27 38 25 f5 91 d4 b0 1e 25 c7 1e 95 45 15 58 e6 a6 0f 6b 86 15 45 ca c0 95 bd 54 02 3e 03

//文章来源中国协议分析网-http://www.cnpaf.net

QQ2008包头:
02 11 5b
命令:
00 0d
序号:
22 27
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
0A (状态: 0A表示在线)
00 00 00 00 00 00 00 00(为1,有摄像头) 00 00

b) 0x2228 服务器
原始数据:
02 11 5b 00 0d 22 27 30 ed ac ce ce 5e 73 24 b0 73 cb be a7 5c 4d 52 03

解密QQ2008数据(SessionKey):
30(ASCII字符‘0’,成功)

十一、QQ2008接收消息0x17
a) 0x2227 服务器
原始数据:
02 01 00 00 17 38 65 a5 d4 3b 38 fc fb 74 08 1b 4d 4d 15 61 44 2d 6f d3 1c d6 35 14 76 e2 5f 07 43 53 0b 97 cc b0 a4 04 44 a6 b2 9f 1b 6a 8b 17 b9 d8 3c 45 96 9b 55 b7 11 d0 d8 9d 1a c5 0f 45 d3 7a 35 df 19 02 d7 59 e7 48 6c 26 28 c0 3b 52 d1 41 0e 65 99 7a ae 04 94 c9 3f 9f 18 6a f9 90 f2 c2 71 c0 57 fe e2 5b 82 08 e0 90 7c 0c 63 94 b4 93 11 d0 37 28 e2 03

QQ2008包头:
02 01 00
命令:
00 17
序号:
38 65
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
00 00 27 10 (发送者QQ号:10000)
38 25 F5 91 (接收者QQ号)
00 00 D9 A4 (序号)
79 0E 4E 20 (发送者IP)
1F 40 (发送者端口)
00 90 (消息类型,未知类型)
00 00 00 00 00 00 00 0A 51 48 73 3F 21 56 56 62 34 56 69 3A 26 54 78 27 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 28 55 27 60 3A 96 C5 07 38 71 7B 24 F9 3D 70 A2 D7 C7 EC 40 2C 89 40 82 6C 94 87 0A 01 B0 FC 1F 87 AA EC A9 2D 13 FA 20 8E(未知,这不是普通的好友文本消息,具体好友文本消息见后面分析。)

十二、QQ2008 AddFriendAuth 0xb8
a) 0x222a 客户端
原始数据:
02 11 5b 00 b8 22 2a 38 25 f5 91 72 7d ab f9 40 14 d2 ef 5b e5 09 43 de 07 e9 b0 03

QQ2008包头:
02 11 5b
命令:
00 b8
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
01(子命令)

b) 0x222a 服务器
原始数据:
02 11 5b 00 b8 22 2a 7e 7a 82 82 87 3b 4b 81 11 28 e9 ee 37 25 c2 b7 eb ec fc f5 34 80 f7 d2 11 4e 53 7c a3 b4 c1 ae 03

解密QQ2008数据(SessionKey):
01 00 3A 3D 21 3A 00 50 00 00 0F ED 00 00 00 00(未知)

十三、QQ2008获取好友列表0x26
a) 0x222a 客户端
原始数据:
02 11 5b 00 26 22 2a 38 25 f5 91 3b 4a 7b b4 ca a6 bc 05 cf 54 32 03 1a d8 07 3a 03

QQ2008包头:
02 11 5b
命令:
00 26
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
00 00 (排序后的偏移位置)
00(是否排序)

b) 0x222a 服务器
原始数据:
02 11 5b 00 26 22 2a e4 36 68 af 3e 5a d2 2f 05 c5 3e 14 df c3 39 53 24 db d6 ea 9e 50 bb 81 66 8e 4d 21 8d 96 0e 25 59 b8 d4 e9 0d e2 c8 dd fa 97 6d 58 f8 ad bf f9 0e 1a d6 25 b1 ec 08 ae f8 3a b9 bb 28 37 3c c6 03

解密QQ2008数据(SessionKey):
FF FF (下次获取的偏移位置,FF FF表示结束)
12 3A 12 CA (QQ号码)
00 00 (头像)
11 (年龄)
00 (性别)
0B (昵称长度)
30 6F 30 E0 F5 B4 BA BC 6F 86 88 00 (昵称:0o0圊春紀唸)
88 02 40 07 C7 0B 01 (用户标志)

15 4C 8F 9C (QQ号码)
00 8D
02
00
04 (昵称长度)
D0 A1 CF BA 00 (昵称:小虾)
80 02 02 07 D6 03 11(用户标志)

十四、QQ2008好友分组管理0x58
a) 0x222a 客户端
原始数据:
02 11 5b 00 58 22 2a 38 25 f5 91 a4 0c 3b db f0 3f cc 39 63 91 fc 87 fa ee 1f 54 4a ad e3 48 3c 2a f2 90 03

QQ2008包头:
02 11 5b
命令:
00 58
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
01 (子命令,01为下载,02为上传)
01 (未知)
00 00 00 00
00 00 00 00(起始好友号)

b) 0x222a 服务器
原始数据:
02 11 5b 00 58 22 2a fa 52 70 1b 2a 0c b4 66 f9 de 9c 8a 16 86 7b c3 ad 9d ba 93 5f 25 2e 89 3e 7e a7 fe f6 da e1 4a 19 4a fe 6f a5 61 ae fe 6b 00 df 34 eb 9a 6d 4e 03

解密QQ2008数据(SessionKey):
01 (子命令,01为下载)
00 (00表示成功)
00 00 00 00
00 00 00 00 (下次下载的偏移值)
12 3A 12 CA (号码)
01 (01表示普通好友,04表示群)
00 (分组编号,00为未分组)
15 4C 8F 9C (号码)
01 (普通好友)
00 (分组编号,00为未分组)
1C 9F 85 A1 (内部群号)
04 (群)
00 (分组编号,00为未分组)
1C AA 5D 98 (内部群号)
04 (群)
00

十五、QQ2008获取广告地址0x122
a) 0x222a 客户端
原始数据:
02 11 5b 01 22 22 2a 38 25 f5 91 f5 1e bd 78 ba 24 fa 7e 0b 9c 12 fd 96 91 af 67 03

QQ2008包头:
02 11 5b
命令:
01 22
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
01 (子命令)
00 00 00 00 00
样本2:
07
47 EB 47 4F 00

b) 0x222a 服务器
原始数据:
02 11 5b 01 22 22 2a 79 48 03 38 04 44 94 7e a7 68 cc f0 88 03 fc 80 3b 68 39 77 7c e1 95 36 65 68 bc a3 64 76 f2 02 58 ae 0f 53 94 eb fd 43 8b 20 07 7f 84 5b 11 0c ec b9 01 62 f8 1c d3 11 18 22 07 fd 8c 9b dd 5e a2 6f 68 41 53 b0 86 7b 38 6f f9 39 a9 c6 c9 98 53 60 54 ce 56 c9 7c 71 ae ff 1e 70 f2 d7 0b ad c4 fa 4b 0b 37 12 2a d7 92 90 a0 e7 ed ae 75 df 03

解密QQ2008数据(SessionKey):
01 (子命令)
47 BA 39 6E (时间)
00 00 (未知)
06 (地址数目)
0F (长度,15字节)
6D 69 6E 69 73 69 74 65 2E 71 71 2E 63 6F 6D (字符串:minisite.qq.com)
0E (长度,14字节)
6F 69 6D 73 67 61 64 2E 71 71 2E 63 6F 6D (字符串:oimsgad.qq.com)
0F (长度,15字节)
61 64 73 67 72 6F 75 70 2E 71 71 2E 63 6F 6D (字符串:adsgroup.qq.com)
0F (长度,15字节)
61 64 73 68 6D 6D 73 67 2E 71 71 2E 63 6F 6D (字符串:adshmmsg.qq.com)
0E (长度,14字节)
61 64 73 68 6D 63 74 2E 71 71 2E 63 6F 6D (字符串:adshmct.qq.com)
0C (长度,12字节)
74 6F 64 61 79 2E 71 71 2E 63 6F 6D(字符串:today.qq.com)

样本2:
07
47 EB 47 4F (+15h: Thu Mar 27 14:05:51 2008 )
00 02
02 BA EA 06 95 03 A4 43 BB 84 95 C7 02 5E 1A 8F 42 00 00 00 00 00 00 00 00 0A 71 71 63 65 72 74 2E 64 6C 6C 48 36 C3 33 20 8E 4B CE B3 0B 00 B9 54 5B 0F 6E 00 00 00 00 00 00 00 00 10 51 51 49 45 48 65 6C 70 65 72 30 31 2E 64 6C 6C 00 (好像与更新相关,有字符串信息,不太重要,放弃研究) //文章来源中国协议分析网-http://www.cnpaf.net
十六、QQ2008未知命令0x2e
a) 0x222a 客户端
原始数据:
02 11 5b 00 2e 22 2a 38 25 f5 91 94 0c 22 f2 44 51 52 0c 69 7c a6 7d 7b 86 e0 ba 03

QQ2008包头:
02 11 5b
命令:
00 2e
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
00 00(未知)

十七、QQ2008群命令0x30
a) 0x222a 客户端
原始数据:
02 11 5b 00 30 22 2a 38 25 f5 91 e2 81 6c 47 b6 96 ea c3 42 4e 1e 09 a5 df bb 18 28 37 2f 85 f7 e7 e8 66 03

QQ2008包头:
02 11 5b
命令:
00 30
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
72 (子命令)
1C 9F 85 A1 (内部群号)
00 00 00 00

b) 0x222a 服务器
原始数据:
02 11 5b 00 30 22 2a a4 9b 47 e2 ce b7 88 33 1c 19 48 a2 dc c7 a2 99 65 ed 67 fc 35 4d 2b d0 5e ee 24 30 69 78 10 c9 fa 9a 56 58 10 f0 59 1a 73 e0 ca 1a e6 22 28 53 41 8c cf a0 64 88 7d cf f8 1f 8f 5f 04 88 d5 7a 79 88 6b 7b 69 03 70 ff 4d 80 cd ca 35 39 ab 3b 46 b1 d3 6a 4c 95 6b 7e 1b 28 9d 1c 63 2d f8 98 c2 bb ad 0f e4 6b 35 eb 71 9e 20 b2 ba f4 38 82 12 a6 c7 1b ed 08 ee 16 e4 4a 04 e4 50 0e b7 d9 c8 ac e0 df e1 ed 01 db 33 63 f1 c7 4d 2a 79 d0 48 c0 9a 09 d7 ef fa f8 6c 67 ad 65 18 75 bc 48 bd e6 ef 47 7f 15 80 ce ff 4d da b0 3c 01 15 64 44 39 79 cb f1 72 78 19 91 2f f8 34 a6 49 ea da d3 ea 6a 68 be 8c c5 50 24 b3 33 5c e3 45 80 dc d0 85 db 88 3f 17 30 1d f8 2d 49 bb 20 22 8b 52 70 ed 3c e0 a5 1a 58 6d a8 98 11 a0 41 a2 3a a2 9a f4 3e 05 e6 00 64 34 cf c1 a5 95 9c 1a d5 ee f6 0b ce 00 21 0e 90 f7 97 00 73 b2 42 3f 00 1f 85 9b bc 59 f7 b1 c0 a3 f6 c4 a4 a2 98 0a 00 0b 2a d5 0b 81 82 57 78 76 f2 a3 4a 4b 86 8f 2c 86 ae 28 59 c7 6d c8 e7 31 25 15 ab 32 9d b3 a6 a7 8f ec dc cb da 34 7e 4e 11 a7 e8 9d 3f 18 70 81 d8 c8 3b aa c5 fc 09 9f 4b aa d5 de 3c ec c0 c1 c0 06 ac 31 0a fa 64 9e ee 9c b4 41 41 db 43 05 70 8c 5f ce 20 d0 05 6d f9 6a 21 be 37 d3 89 e6 d4 08 87 7e 10 3f 6d c6 01 96 d2 f3 15 ba 96 f1 66 4f 61 d4 56 08 34 8c 64 3c b0 29 33 b2 92 2f 3d 8a 3e f7 fd 97 a8 f0 af 7b 5c 04 1c fd 6f a6 90 a4 f2 9a cd 01 69 d0 09 cc 0e 33 91 33 22 ac d4 d0 c2 54 55 93 a4 d9 8c 9f 65 25 ec 8e 34 24 9b c9 13 33 ad a0 4a 87 88 f9 2a 9d d6 24 7c 6b a4 fe 64 32 69 ce 3b 13 a2 a7 68 03 00 e6 c2 a4 c8 c0 66 0a aa b8 0d 99 c9 e6 8d d7 44 27 67 62 bd 37 b9 1c 93 66 b7 b5 01 aa ac 07 f7 99 2e c1 dc 67 75 65 6a 51 46 23 78 48 0c 10 d4 4f 7c 73 e9 b6 b8 f9 76 3a f2 3e 8e 6f c8 3c 1d 9b 43 56 10 6f 27 76 bf cc 19 d6 29 c7 57 68 31 9c 9c ce 9c e3 05 e5 46 b8 4f 5e a0 ba 07 48 8b 2e ce 8c b7 f9 74 0a 66 6c 9b 75 af 3b 83 55 f0 69 a0 d7 14 dd a5 1c fc 8d 1b 99 b1 03 d2 78 3a 48 11 66 0b b0 ec c5 22 57 a4 9d f7 e4 a8 8b a1 95 55 18 93 ed 3d 3d 63 17 dc e6 f0 5d c6 ef 99 f5 eb c1 70 53 5d fc 5b 77 b0 fe fa f6 6a 06 b5 66 09 c9 03

解密QQ2008数据(SessionKey):
72 (子命令)
00 (00表示成功)
1C 9F 85 A1 (内部群号)
00 AB 26 61 (外部群号:11216481)
00 00 00 03 (群序号)
01 (可能是群类型,表示普通群)
00 10 00 01 (未知)
15 4C 8F 9C (群所有者。这是本人的QQ号码:357339036)
02 (验证方式,01不需要验证,02需要验证,03本群不随便加人)
00 00 00 00 00 00
00 00 01 2F (群分类)
00 64 (未知)
01 00 00 00 01 00 00 00 BB (未知)
0E (群名称长度)
D0 C2 D0 CB CF D8 CA B5 D1 E9 D6 D0 D1 A7 00 (群名称)
00
4D (群公告长度)
4E C4 EA C7 B0 B5 C4 CA B5 D6 D0 B5 C4 B5 D8 C0 ED BA CD C9 FA CE EF C2 DB CC B3 CB AD B9 DC C0 ED A3 BF A3 BF 0D 0A B5 D8 C0 ED 20 64 6C 2E 78 78 73 79 7A 78 2E 63 6F 6D 0D 0A C9 FA CE EF 20 73 77 2E 78 78 73 79 7A 78 2E 63 6F 6D (群公告)
37 (群简介长度)
CE C4 C3 F7 A1 A2 C0 F1 C3 B2 A1 A2 BD A1 BF B5 A1 A2 B8 DF C9 D0 0D 0A D1 A7 D0 A3 CD F8 D5 BE 0D 0A 68 74 74 70 3A 2F 2F 77 77 77 2E 78 78 73 79 7A 78 2E 63 6F 6D (群简介)
00
38 (令牌q长度)
14 6E E1 88 CA CB 60 8B 9C B0 AA 04 8A 95 9C 1E F0 AA C7 00 31 97 B0 F2 67 3B AA 27 21 DD 2E 1D AD CC 0E C5 60 F6 74 39 19 C9 2C 3B AC 28 72 93 DE 20 51 5D 49 42 67 83 (令牌q数据)
38 25 F5 91 (下次获取成员信息的位置)
00 (1表示还有成员信息,0表示已结束)
(下面是排序好的成员列表,每个成员信息由4字节号码和2字节属性值,分别表示属于哪个组织和担任角色。角色值位1表示管理员  //文章来源中国协议分析网-http://www.cnpaf.net)
02 1B 96 81 00 00
02 D9 86 B8 00 00
06 AD CE 42 00 00
07 5A CD 9A 00 00
0A 47 AB CA 00 00
0A EF 2F 3F 00 08
……
31 EC C7 AA 00 04
38 25 F5 91 00 00

c) 0x222b 客户端
原始数据:
02 11 5b 00 30 22 2b 38 25 f5 91 e2 81 6c 47 b6 96 ea c3 04 89 09 00 1a ca 20 d4 d7 f5 92 86 45 80 f2 c0 03

QQ2008包头:
02 11 5b
命令:
00 30
序号:
22 2b
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
71 (子命令)
1C 9F 85 A1 (内部群号)
00 00 00 03 (群序号)

d) 0x222b 服务器
原始数据:
02 11 5b 00 30 22 2b dc 28 d1 cb 49 c0 01 ae 07 83 49 1d 76 a5 c6 1d 28 84 9a da 84 27 28 8e 11 15 4a 61 4f d8 f7 07 03

解密QQ2008数据(SessionKey):
71 (子命令)
00 (成功)
1C 9F 85 A1 (内部群号)
00 AB 26 61 (外部群号)
00 00 00 03 (群序号)
00 00 00 00 00(未知)

e) 0x222e 客户端
原始数据:
02 11 5b 00 30 22 2e 38 25 f5 91 1a ae f9 ce b4 51 4d 3f b5 a1 a9 6d 3b 60 36 b9 2b 7f 22 b1 6b 73 7a 1c bf 15 18 00 e9 d9 6e 56 03

QQ2008包头:
02 11 5b
命令:
00 30
序号:
22 2e
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
20 (子命令)
00 (未知)
02 (群数目)
1C 9F 85 A1 (内部群号)
00
00 00 00 00 (未知)
1C AA 5D 98 (内部群号)
00
00 00 00 00(未知)

f) 0x222e 服务器
原始数据:
02 11 5b 00 30 22 2e 53 8d 01 70 ef fc 49 91 d8 77 2d ea 91 b3 48 a0 77 b2 95 d6 b2 73 32 41 ec f7 52 c9 47 04 6e 33 03

解密QQ2008数据(SessionKey):
20 (子命令)
00 (成功)
02 (群数目)
1C 9F 85 A1 (内部群号)
00
AB 26 61 0F (未知)
1C AA 5D 98 (内部群号)
00
B5 FE 58 0F (未知)

g) 0x2230 客户端
原始数据:
02 11 5b 00 30 22 30 38 25 f5 91 0c 0a 85 cb 49 33 e3 8c 62 11 9e 7c 01 e2 73 e9 03

QQ2008包头:
02 11 5b
命令:
00 30
序号:
22 30
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
0D (子命令)

h) 0x2230 服务器
原始数据:
02 11 5b 00 30 22 30 0d 61 c2 4e 81 04 8c 7b fe 74 47 e8 48 f3 bb 96 03

解密QQ2008数据(SessionKey):
0D (子命令)
00 (成功)

i) 0x???? 客户端
解密QQ2008数据(SessionKey):
23 (子命令,获取邮箱?? )
1C AA 5D 98 (内部群号)
6E (成员个数)
(下面是成员QQ号码列表)
00 08 00 5E
00 0E 56 9A
……
36 F1 DB CB
38 25 F5 91

j) 0x???? 服务器

解密QQ2008数据(SessionKey):
23 (子命令)
1C AA 5D 98 (内部群号)
00 01 (未知)
04 F4 CD C8 (下次获取的偏移地址,即本次获取的最后一个QQ号的值+1)
00 25 (本次获取个数)
(下面是列表开始)
00 08 00 5E (QQ号码)
00 00 00 00 (未知,则无下文)
00 0E 56 9A (QQ号码)
00 00 00 12 (未知)
11 (长度)
70 6B 6E 65 6F 40 68 6F 74 6D 61 69 6C 2E 63 6F 6D (邮箱:pkneo@hotmail.com)
……

k) 0x???? 客户端
解密QQ2008数据(SessionKey):
1A (子命令,发送群消息)
1C AA 5D 98 (内部群号)
00 27 (后面的数据的总长度)
00 01 (Content Type, 2字节,0x0001表示纯文件,0x0002表示有自定义表情)
01 (消息分片数,1字节。群消息分片也是最大700字节,但是这个和普通消息不一样的是:这个700包含了这些控制信息)
00 (分片序号,1字节,从0开始)
57 CC (消息id,2字节,同一条消息的不同分片id相同)
00 00 00 00 (4字节,未知)
D3 D0 C8 CB C2 F0 A3 BF 20 (消息内容,最后一个分片追加空格)
00 (分隔)
2E (字体修饰属性,bold,italic之类的,2字节,具体的设置是
i. bit0-bit4用来表示字体大小,所以最大是32
ii. bit5表示是否bold
iii. bit6表示是否italic
iv. bit7表示是否underline
)
FF 80 00 (RGB)
00 (空)
86 02 (GB2312)
BF AC CC E5 5F 47 42 32 33 31 32 (字体名)
14(字体属性字节数)

l) 0x???? 服务器

解密QQ2008数据(SessionKey):
1A (子命令)
00 (发送成功)
1C AA 5D 98(内部群号)

m) 0x???? 客户端(应邀答应)
解密QQ2008数据(SessionKey):
08
1C 9F 85 A1 (内部群号)
0C
15 4C 8F 9C(请求方)
00
00 20
08 50 04 FD 07 E8 F5 A9 F9 03 35 33 0C 49 B0 F1 56 F3 50 5A BE 98 FE 9C 10 61 8A B7 10 4D 1E 73

n) 0x???? 服务器

解密QQ2008数据(SessionKey):
08 (子命令)
00 (发送成功)
1C AA 5D 98(内部群号)

十八、QQ2008获取天气预报0xa6
a) 0x222a 客户端
原始数据:
02 11 5b 00 a6 22 2a 38 25 f5 91 da 1b 95 d6 14 25 c4 b6 56 55 7c 47 0a 04 a8 81 d4 6e 71 d4 ba 35 12 b3 03

QQ2008包头:
02 11 5b
命令:
00 a6
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
01 (子命令)
7D 5A 9D 19 (外网IP)
00 00(未知)

b) 0x222a 服务器
原始数据:
02 11 5b 00 a6 22 2a cc d9 f3 dd 57 5e e0 11 71 1a c6 fd 6d 87 cc de c2 e2 f6 b2 52 88 72 65 78 48 6e d4 cd 10 f7 1b 96 60 49 1e a9 ac 27 0a 94 26 a5 ee 3b e6 01 54 2a 2d 34 50 cb 58 49 8c a6 ed 42 56 68 b0 e4 8c 3b 75 89 51 ff 2a 23 0b a2 35 22 74 9c 98 79 bc 63 8e a1 cd 45 3d 02 f6 11 a5 8c de f8 6a d0 34 a0 4c 75 9b 38 6f 46 48 25 36 20 7d bf 4b ea 19 b4 c5 96 30 24 dd 2a 2a 2b 17 23 65 11 ec 5c ce 2d 7f a2 4b d9 ba f9 72 31 cd 9f 39 74 d5 0b e3 35 f6 05 92 27 b8 20 b4 4f 73 91 df 2f 83 b3 5a 87 c7 d1 3a e3 51 ab 48 20 6e 66 7c 95 39 d3 f5 7a f2 34 7b 78 29 2b 77 83 63 f1 a7 f2 ee 13 f7 0b ec 0e d1 ba 78 dd 87 f5 0b 9d 61 b1 bf 56 f6 bd 3a 56 c8 37 83 c2 b2 f8 db 29 c3 8c c5 e2 bf 03

解密QQ2008数据(SessionKey):
01 (子命令)
00 (成功)
06 (名称)
B9 E3 B6 AB CA A1
06 (市名称)
D4 C6 B8 A1 CA D0
01 52 (未知)
00 (市2长度,如果为0,则没有后续字符串。)
03 (03表示72小时预报)
47 C0 43 00 (预报时间)
0A (字符串长度)
D5 F3 D3 EA D7 AA D0 A1 D3 EA (天气情况:阵雨转小)
0A (字符串长度)
CE DE B7 E7 CF F2 CE A2 B7 E7 (风向:无风向微风)
00 0F (最低温度,单位是摄氏度)
00 14 (最高温度,单位是摄氏度)
06 (未知)
2E (字符串长度)
D3 D0 D3 EA A3 AC B3 F6 C3 C5 B1 F0 CD FC C1 CB B4 F8 D3 EA BE DF A1 A3 C2 B7 C3 E6 CA AA BB AC A3 AC C7 EB D0 A1 D0 C4 BC DD CA BB A1 A3 (提示:有雨,出门别忘了带雨具。路面湿滑,请小心驾驶。)
47 C1 94 80 (预报时间)
0A (字符串长度)
D5 F3 D3 EA D7 AA B6 E0 D4 C6 (天气情况:阵雨转多云)
09 (字符串长度)
C4 CF B7 E7 33 2D 34 BC B6 (风向:南风3-4级)
00 0E (最低温度,单位是摄氏度)
00 13 (最高温度,单位是摄氏度)
02 (未知)
1E (字符串长度)
CC EC C6 F8 C7 E7 C0 CA A3 AC B6 E0 D0 A9 D4 CB B6 AF A3 AC D4 F6 C7 BF CC E5 D6 CA A1 A3 (提示:天气晴朗,多些运动,增强体质。)
47 C2 E6 00 (预报时间)
04 (字符串长度)
D5 F3 D3 EA (天气情况:阵雨)
09 (字符串长度)
C4 CF B7 E7 34 2D 35 BC B6 (风向:南风4-5级)
00 0B (最低温度,单位是摄氏度)
00 10 (最高温度,单位是摄氏度)
04 (未知)
18 (字符串长度)
D5 F3 D3 EA A3 AC B3 F6 C3 C5 B1 F0 CD FC C1 CB B4 F8 D3 EA BE DF A1 A3 (阵雨,出门别忘了带雨具。)
00 00(结束)

十九、QQ2008未知命令0xc6
a) 0x222a 客户端
原始数据:
02 11 5b 00 c6 22 2a 38 25 f5 91 ae 89 37 9e 8a 7c 62 49 fd b9 3a 5c 48 21 c7 62 03

QQ2008包头:
02 11 5b
命令:
00 c6
序号:
22 2a
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
02 (子命令)
00 00 00 00

b) 0x222a 服务器
原始数据:
02 11 5b 00 c6 22 2a da 84 09 5e 3a cb e0 3b cb 65 d7 dd 66 23 ea ff 73 64 e0 8c f6 9f c7 10 d4 4f 9e 1a b4 de 64 bb 03

解密QQ2008数据(SessionKey):
02 (子命令)
00 (成功)
00 01 2C 00 00 00 0A 00 00 00 00 00 00 00(未知)

二十、QQ2008获取在线好友0x27
a) 0x222b 客户端
原始数据:
02 11 5b 00 27 22 2b 38 25 f5 91 82 8d 75 23 bf 82 97 29 10 83 19 f1 2c c0 7f aa 03

QQ2008包头:
02 11 5b
命令:
00 27
序号:
22 2b
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
02 (02表示获取在线好友列表,03表示获取在线QQ服务好友列表)
00 00 00 00(偏移位置)

b) 0x222b 服务器
原始数据:
02 11 5b 00 27 22 2b 5a 6a 7c d0 2e aa 77 36 e1 11 86 a9 b0 37 54 ba 03

解密QQ2008数据(SessionKey):
FF (下次读取的偏移位置)
(这个QQ没有在线好友列表,所以我在另外一个QQ的数据里复制过来。)
1F 27 6F DA (QQ号码)
01 (未知)
DA 0F CA 5E (IP地址)
39 25 (端口)
00 (未知)
0A (登录模式,0A表示在线,1E表示离开,32不知表示什么)
06 A9 (未知)
2E 1E B1 0E 33 5A 43 A6 27 A2 B0 1D 93 C1 AB 59 (通讯钥匙)
00 80 (未知)
02 (属性1)
00 (属性2)
00 00 (未知)
00 (未知,总是0)
00 00 00 00 (未知,经常是0)

二十一、QQ2008未知命令0xc9
a) 0x222e 客户端
原始数据:
02 11 5b 00 c9 22 2e 38 25 f5 91 7f 9b f2 89 d2 50 9f fe 6b 0b 29 9f ab da ae 02 1b 6f 90 04 7f c4 b7 08 d7 5d 87 d2 dc c5 78 7d 03

QQ2008包头:
02 11 5b
命令:
00 c9
序号:
22 2e
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
00 00 00 00 06 FF 00 00 00 00 00 00 00 00 00 00 00 01 80 00(未知)

b) 0x222e 服务器
原始数据:
02 11 5b 00 c9 22 2e 31 63 7f dc ed 28 b6 bf 8d 5a e0 3c 74 4d 19 12 df 22 9f 3c ce 64 ad 9f 03

解密QQ2008数据(SessionKey):
00 00 00 00 00 00 00 00 00(未知)

二十二、QQ2008未知命令0xbe
a) 0x222e 客户端
原始数据:
02 11 5b 00 be 22 2e 38 25 f5 91 48 ac 3b a8 ca 6a d3 28 98 50 fb 7a 1a fd 40 af 81 fa f9 49 a4 66 d6 6d 03

QQ2008包头:
02 11 5b
命令:
00 be
序号:
22 2e
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
08 00 00 00 00 00 00 00 00(未知)

二十三、QQ2008用户属性操作0x65
a) 0x2231 客户端
原始数据:
02 11 5b 00 65 22 31 38 25 f5 91 f0 c7 c8 eb 72 d5 f6 21 48 4c 43 e2 9e 5b 21 b9 03

QQ2008包头:
02 11 5b
命令:
00 65
序号:
22 31
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
01 (子命令)
00 00(起始位置)

b) 0x2231 服务器
原始数据:
02 11 5b 00 65 22 31 87 63 2c db 51 b8 73 70 85 d2 66 69 9a ee 9e aa d1 78 83 67 73 fb 83 13 9d 61 d7 f8 ee 25 cd fd fd 1e 80 29 a9 98 27 fc 52 1e b5 78 98 67 b5 d3 2d 00 04 bd 9c 2d cf 2b 03

解密QQ2008数据(SessionKey):
01 (子命令)
FF FF (结束)
09 (属性字节长度)
38 25 F5 91 (QQ号码)
00 00 00 00 00 00 00 00 00 (属性)
12 3A 12 CA (QQ号码)
D5 54 08 01 10 3C 20 00 00 (属性)
15 4C 8F 9C (QQ号码)
41 D4 00 00 00 04 00 00 00 (属性)

二十四、QQ2008版本特征0x11c
a) 0x2231 客户端
原始数据:
02 11 5b 01 1c 22 31 38 25 f5 91 57 4f d4 cf 7e de 38 15 f1 9f dd a8 ce 56 1c 25 03

QQ2008包头:
02 11 5b
命令:
01 1c
序号:
22 31
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
06 (子命令)
00 00 00 00 00

b) 0x2231 服务器
原始数据:
02 11 5b 01 1c 22 31 d4 0e 60 8f a0 2a 49 95 2a 7b 27 83 be ad 17 4a b0 54 ce 71 ab 63 60 4a 6d 39 94 b7 c4 5d 12 ab 3b 95 d9 e3 2b 38 93 2c 36 89 ad 3d c5 78 1b 5a fd fd 3e 48 ac 52 3a 70 9b 3c 3d 64 04 23 93 f5 22 b8 9d f8 cb b4 14 8a 43 f5 6d da 6a ef 36 cc 34 99 16 cd 54 31 40 f9 99 f6 3d 5d 9f c8 a6 79 8f 52 bb b4 9c 4e 1a ed 48 ec c7 51 4e ce 1f 5f 92 1a 5d b9 6c 8e 4f 59 c3 92 6f be 51 5e 58 63 9b db ea a4 be c5 dc 2c 71 47 b7 5c f2 0c 28 72 40 17 e9 24 80 ff 84 99 8b 63 4d c4 60 72 7a f4 c1 77 d2 20 ad 18 f2 76 00 d3 c8 d1 bc 33 ab b3 9e 69 52 2c 2f 01 99 1d ec b3 24 26 31 c3 a8 43 63 74 e0 1e 9e cc 62 31 3d 11 ec e4 55 32 b3 ec b5 d4 f1 a1 34 85 79 4b dd 03 16 9b 7a d1 d3 c8 44 f9 90 69 0c d3 6e 5a d2 e5 b6 67 7e 77 26 9c bd 71 cb af 94 dd f5 b9 18 cc ba a4 ab 98 48 44 af 46 71 f5 fe 40 34 f7 5a fd d7 8d 8f 7f 1a 52 6d cb f3 e6 c6 f1 25 2a 9e fc 64 38 9c 1d 0e e9 fe a0 dc 4b 5e 13 60 e7 85 1d 1b d4 08 b0 41 83 f7 a9 66 91 fc a6 19 cd fd 14 79 6d 2e 0c a6 ce 17 95 4f 9e 5f bf a5 76 60 3e c9 05 53 d2 68 7a 7e fb 13 e6 b6 22 3d f1 1f ad 55 15 61 9c 57 7e 1d e2 a5 41 9f 10 4b 62 d0 51 81 15 76 68 db 0f 11 da d4 09 60 6c 6e 57 83 66 d8 b6 76 f9 10 60 1d 36 6c 42 13 a4 72 c7 84 49 22 56 54 11 9d e6 c2 6f 1d 5d 63 30 fe 7a 6b 32 2d 20 a3 84 90 79 a1 47 44 1c 78 ac e9 7d 29 ed 00 6c 74 8f be 35 6a 89 19 1b 61 5a 26 be 7b 27 b7 2b 4a 33 38 9a 50 b1 21 cb 2e 2d cb 02 e3 fe 0c 2d a3 d0 83 b8 90 40 5d cd b2 ed 7a 9d 95 c5 6f 11 0f d6 73 b0 22 45 1f dd a0 6c cf 98 4e 3d b2 f5 43 e3 54 c5 b7 45 63 9c cb 20 c4 36 02 4b 8f 63 ac 8a c9 78 1e 86 f9 9d da ae 02 2c bd 8e 4b 1f 33 d9 a4 4f d3 45 7b 2a 28 0d 23 29 90 d8 fa 62 5b bc 74 7f bd 8a 8a 0c 2a 11 19 e1 da 46 a1 f1 72 7c 54 b1 4e 11 d1 44 80 f4 df 1f b0 50 35 26 06 0d 60 34 fb 1e 87 ee 08 89 cf bd 67 c8 16 e3 9d c6 f9 ee 94 66 74 a8 61 26 b7 11 7e e0 39 da 20 5b 84 65 9b 1c 32 b8 3c 3d 1e b7 a1 41 45 b0 7b 80 a6 c2 50 c2 c3 48 b3 62 55 fe 10 72 2c a1 aa 62 09 43 51 3e c6 2e 71 9f 1a 5f ec 2a 58 d0 e3 cb 33 df cb 6c a2 44 87 e6 64 9c ac 13 4a a5 2e 07 04 6b b3 a7 ce c2 21 8e 10 a8 2e 97 c2 5f 71 a4 95 de f2 d8 11 02 d7 b2 c6 21 f0 e4 4f 9b 72 39 3d 5e 30 f3 0c 48 28 0e 30 5d 17 54 4c 71 a6 bd e6 6c 6a c7 83 d9 ea c1 07 c5 25 ac c9 ac 5b 17 98 64 84 6b 07 66 da 08 c0 c5 d3 d9 79 48 83 59 f4 d2 77 11 e0 e6 bb 92 ef ce 75 08 fd fa f3 2c c8 13 16 5c da d5 d9 1b f5 98 bf db cc 53 df 2b 30 1c 30 e7 f9 5d f0 e3 58 8b bb ee 78 fb 96 38 4a 69 7a e4 46 b7 79 a0 91 0b 4c aa cb 6d 1a 52 77 bd 93 91 b5 b5 b8 1f eb f7 c5 6e a3 c7 da 08 a0 49 3c 88 d3 dc 67 76 e4 a1 1b 8c 72 37 93 22 9d d5 d8 d0 ff c4 1f de d5 3f 03

解密QQ2008数据(SessionKey):
06 (子命令)
00 00 00 2C
05 (5条特征广告)
01 00 00 00 01 00 00 00 07 00 00 (未知)
30 (字符串长度)
E6 9F A5 E7 9C 8B E8 81 8A E5 A4 A9 E8 AE B0 E5 BD 95 E8 AF B7 E7 82 B9 E5 87 BB E5 B7 A5 E5 85 B7 E6 9D A1 E5 8F B3 E4 BE A7 E6 8C 89 E9 92 AE (字符串:查看聊天记录请点击工具条右侧按钮)
45 (字符串长度)
E8 81 8A E5 A4 A9 E8 AE B0 E5 BD 95 E5 85 A8 E6 96 B0 E4 BD 93 E9 AA 8C EF BC 8C E8 AF B7 E7 82 B9 E5 87 BB E5 B7 A5 E5 85 B7 E6 9D A1 E5 8F B3 E4 BE A7 E6 8C 89 E9 92 AE E5 BC 80 E5 90 AF E4 BD 93 E9 AA 8C (字符串:聊天记录全新体验,请点击工具条右侧按钮开启体验)
2C (字符串长度)
68 74 74 70 3A 2F 2F 69 6D 2E 71 71 2E 63 6F 6D 2F 71 71 2F 61 66 66 69 63 68 65 2F 32 30 30 37 2F 31 32 2F 32 37 2E 73 68 74 6D 6C (字符串:http://im.qq.com/qq/affiche/2007/12/27.shtml)
01 00 00 00 21 00 00 00 07 00 00 (未知)
26 (字符串长度)
E5 85 A8 E6 96 B0 51 51 E8 B6 85 E7 BA A7 E8 AF AD E9 9F B3 E9 AB 98 E6 95 88 E6 B5 81 E7 95 85 E6 B8 85 E6 99 B0 (字符串:全新QQ超级语音高效流畅清晰)
3B (字符串长度)
E5 85 A8 E9 9D A2 E4 BC 98 E5 8C 96 E7 9A 84 51 51 E8 B6 85 E7 BA A7 E8 AF AD E9 9F B3 E7 9A 84 E8 BF 9E E6 8E A5 E9 80 9F E5 BA A6 E3 80 81 E9 80 9A E8 AF 9D E8 B4 A8 E9 87 8F (字符串:全面优化的QQ超级语音的连接速度、通话质量)
35 (字符串长度)
68 74 74 70 3A 2F 2F 69 6D 2E 71 71 2E 63 6F 6D 2F 71 71 2F 32 30 30 37 2F 69 69 5F 73 74 61 6E 64 61 72 64 2F 64 65 74 61 69 6C 2E 73 68 74 6D 6C 23 61 30 32 (字符串:http://im.qq.com/qq/2007/ii_standard/detail.shtml)
……(好无聊的信息,我都不想分析下去)

c) 0x2232 客户端
原始数据:
02 11 5b 01 1c 22 32 38 25 f5 91 84 c9 b5 4d e3 a7 c7 23 cb 24 29 dc da 69 f6 d8 c2 cb c4 e1 db 3d e8 2d 6d 01 ff eb d8 d4 00 9a 3f 1d 61 5b bf 7d 5b f7 03

QQ2008包头:
02 11 5b
命令:
01 1c
序号:
22 32
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
06 (子命令)
00 00 00 2C 05 00 00 00 01 00 00 00 21 00 00 00 22 00 00 00 26 00 00 00 2B(未知)

d) 0x2232 服务器
原始数据:
02 11 5b 01 1c 22 32 2a b7 6f 4a a3 f2 c5 7c 11 12 e9 02 3c e2 a6 61 ce e0 fc ba 58 a9 5f dc 9c 68 99 cc 02 5c 3f 73 70 63 fc ca 4a ec 25 d5 7c 6b 10 78 b3 d2 0e 1d d7 31 05 b5 d1 62 0a 45 4f 18 0a ff b1 9b e7 3f 71 00 8a 4d df ff 96 f9 40 a0 0b bb 6c 0b 45 cf 12 e6 2f e0 bb 64 93 68 a8 0d 64 4a 49 31 b2 ae 8f 1e de c9 8c 18 74 b1 83 05 65 d4 c0 b3 d2 14 c2 4e e3 c6 3e bb bb ca 7a c9 e6 f4 3e 82 5c c4 a9 53 74 65 ba 53 48 96 22 6f 78 16 10 50 83 51 03 5c bc 64 60 a0 f0 42 62 b5 c5 a6 f6 a3 82 5d 69 e2 f6 7a 99 08 ba 46 2c f5 d0 2f a7 a4 a1 91 fc 8b 91 41 ca af d3 df c7 2e 37 b6 99 0f 93 ee 4f 8f 4c f7 d8 aa cb 44 d0 8d 1c 00 ee a1 0a b8 49 e2 62 c5 60 a7 f4 51 c9 81 87 b5 95 ed ed 9f 98 40 bd b1 32 c4 80 a7 76 ed 7a b4 ca 07 93 fc b3 95 4b ca f8 00 a7 ad 21 b0 98 6f 07 90 51 00 39 dc e4 36 6c a3 0e e8 cd d9 6f c5 25 b2 e2 d8 55 67 19 a3 a9 c5 82 e7 0e 11 df af fa 33 b7 32 08 2f 1e bb 3d e9 e0 90 e5 39 57 c2 77 76 b7 4e fd 1d 45 9e b0 b0 c8 66 aa 3c 54 98 e8 06 89 90 d2 51 57 50 fc 63 3b 6d a4 65 3d 19 36 c1 d4 d6 da fd ef d8 63 0e 96 88 21 0f 13 99 4f 3f e3 e4 3b 40 52 1f 0b b1 63 52 89 5c fb 21 6a fa 6c 51 81 c4 27 41 d4 78 dd 6a 00 9e 51 92 60 51 ee 6b a6 a4 da 1d a1 38 a0 87 6e fe e7 e3 66 6a ad 54 6f fd 52 c9 5c 78 45 0f 89 25 2a e3 a8 50 11 00 28 63 d1 f8 0a 71 83 cb 23 3a 59 3f b5 df 36 4b af f5 26 de 21 98 a9 81 82 b3 01 b1 e0 37 53 93 ea 76 95 4c 1e 64 a9 51 3a bb 4b 9a 73 43 df d3 7e 1f 91 91 5b 1f c8 58 05 f2 90 a8 b5 e4 e6 dc f5 b1 3d 56 50 5a 44 83 4e e0 aa d3 5a 45 f5 a6 93 7d 95 01 1b 0b a8 fd 26 40 4c 11 97 c0 c1 e4 a6 d0 1c 8f fc 3f 31 2e f5 16 1d a2 5b 83 ee 22 29 1e a6 0f 08 d2 f7 2a 7b 7e ce 92 31 e8 0e fc 7f 3f 59 db fc 43 97 71 f1 9c 80 a0 80 e7 72 fb 00 7f 01 bf 17 8c c0 1a 2d fb 5c c5 8c 70 37 51 bd 60 f7 e1 87 8f 5f 96 b1 50 82 5e 1c c8 e2 a6 08 2c a5 95 1e 53 ca 79 15 19 0b 3f 3c 57 9d 6a 09 bb 14 54 54 ff 37 17 b2 fc f3 fc f3 37 9d 63 9d 29 b3 80 4f 3c 37 e9 7d ba 29 40 7d fc 06 22 c3 49 0f f1 c2 e5 87 17 ee a0 f0 16 d8 15 34 49 8e 85 b2 90 1f 6c f6 e6 e9 b2 ac be 03 87 c3 e6 4a a7 39 81 16 6c 7e bc ef ed ac b0 ec af 0c 91 12 bb bd 6c ff 89 70 63 53 17 3c 13 38 ee c3 4e 03

解密QQ2008数据(SessionKey):
(又是广告,不分析了。)
二十五、QQ2008获取好友签名0x67
a) 0x2231 客户端
原始数据:
02 11 5b 00 67 22 31 38 25 f5 91 a4 3b c0 77 e8 43 b3 2a 58 1d a8 a4 63 cc 9a 78 b7 c4 5a 02 0a bd b7 56 94 b9 9f 8a b3 a2 3c 64 03

QQ2008包头:
02 11 5b
命令:
00 67
序号:
22 31
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
03 (子命令)
00 (未知)
02 (QQ号码数目)
12 3A 12 CA (QQ号码)
00 00 00 00 (未知)
15 4C 8F 9C (QQ号码)
00 00 00 00 (未知)

b) 0x2231 服务器
原始数据:
02 11 5b 00 67 22 31 3f b4 ce 20 cf 58 71 7b 1d 29 67 19 74 52 43 78 af e7 d9 be d1 a0 29 78 86 64 c5 af 67 c4 3f 1d 09 6d 00 21 f7 ca 84 e4 01 95 bf 3c 8f ee 51 8e b2 bf 66 03 be 7f 27 f7 34 88 6f b9 46 4e c5 6f 38 e3 66 ae 05 f3 81 ea 9e 77 1a b0 fd 5c 30 29 47 de 29 15 86 ff 3c 15 bb 14 b8 2e 47 13 bc a3 21 b5 63 82 54 d3 dd 19 e6 15 9b 11 f7 74 65 12 65 24 2e cc d0 f7 52 17 00 f5 d7 79 6d bd 35 a1 62 d4 b5 a0 7c 52 34 af bc e1 57 79 70 e6 56 86 03

解密QQ2008数据(SessionKey):
03 (子命令)
00 (成功)
15 4C 8F 9D (下次获取的偏移值,这是最大QQ号的值+1,即0x154C8F9C(QQ:357339036)+1)
12 3A 12 CA (QQ号码)
47 B5 53 74 (时间)
5C (签名长度)
A1 DA 92 6E 90 DB 9B 92 2A A1 F0 A1 F0 2A 98 DD 83 CC A3 AC 8D 6B A0 BF D7 C5 81 7D B0 D7 C9 D7 DE D0 A3 AC 81 7D CC A4 D7 C5 8D 6B B0 D7 C9 D7 C4 5F D3 A1 A3 AC A9 60 9A 69 A9 60 9A 69 A3 AC E0 CB E8 F6 83 CC D1 C4 2D 2D 2D 2D 2D 81 7D A3 A6 8D 6B A3 A1 A1 C9 5F A1 C9 A1 DB (签名内容:≮抧愛洅*○○*樰兲,峩牽着亇白勺扌,亇踏着峩白勺腳印,ー歩ー歩,嗨桷兲涯-----亇&峩!∩_∩)
15 4C 8F 9C (QQ号码
47 B1 15 3D (签名修改时间)
11 (签名长度)
49 27 6D 20 61 20 68 61 63 6B 65 72 20 6E 6F 77 21(签名内容:I'm a hacker now!)

二十六、QQ2008等级信息0x5C
a) 0x2234 客户端
原始数据:
02 11 5b 00 5c 22 34 38 25 f5 91 b8 1b da 67 ac 2b db e0 9c 19 c8 67 a8 03 64 46 03

QQ2008包头:
02 11 5b
命令:
00 5c
序号:
22 34
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
08 (子命令)
38 25 F5 91 (QQ号码)
00(结束)

b) 0x2234 服务器
原始数据:
02 11 5b 00 5c 22 34 ad 48 3e ca f9 7e 43 1a 3c 06 25 2e 91 62 d5 01 e9 97 28 10 ac d0 8d 96 37 ac 34 b6 57 2b 40 77 39 15 44 96 be 0f da 05 39 e1 29 2f b6 75 7d a6 0c 34 b8 e6 5b 82 b9 37 61 3e 6f 9b e9 e5 da 77 9a 02 ee 42 5c b0 41 89 4d 54 55 58 05 90 39 98 2b 46 5e 4f 17 c4 ac 09 9b f2 c5 8b b6 f9 d0 6d a6 da 16 c9 25 6a 07 ab c9 31 61 5e 0b 1b 82 1e 75 92 fd 4b 7d b3 ac a4 d1 54 93 85 f8 56 01 95 49 a4 05 8e 48 2b ea 30 2e 1d 4b 5e d6 f1 8f 2a 1c 36 f1 9c b3 fc 4e 04 f9 86 3c f7 21 e2 56 4f f7 3f 2c 7d da e8 bc a9 df 0b fb c2 88 cf ce 6e 04 42 62 ad f6 a8 0d 03 3e 6e 07 6c bc 6b d0 13 33 77 13 60 02 a7 fb ee 2e c2 35 41 ba b9 18 b0 11 f2 ee c0 29 36 4c 05 1b 72 1b 49 fb 3a dd c3 18 3f 86 48 35 ae b7 91 c1 27 d3 c4 2a ca a3 7b 91 d6 89 a1 b3 13 73 58 47 18 e2 96 65 c7 70 a0 ba ee 87 56 17 0d da e8 fd 34 28 09 55 2e 04 5d 35 13 67 52 05 c8 33 9a d2 08 ad c2 92 18 58 94 13 d4 dd 98 bf c4 20 9d db 84 ea 9b 99 44 f7 55 8f 52 a8 d8 ed 01 c3 2f 36 7e fb e9 98 9f b1 95 f0 d6 bd 87 63 42 a0 9b bd 30 0e c4 5c 50 3c de 78 20 50 b3 25 56 ea 33 59 2f 58 af e0 49 66 21 b5 34 0d 9e 4a 89 b2 ee 94 02 8e 82 ef de 70 d2 4b 7d 01 ec 72 de 9b fa 05 fe 78 c3 64 c4 ad f7 18 07 40 b6 c9 1d 47 60 6f 7f b1 2a 75 4c 4b 99 d2 16 7b f4 cc 51 21 ed 68 5a 4d cd 30 3a 94 23 03

解密QQ2008数据(SessionKey):
08 (子命令)
38 25 F5 91 (QQ号码)
00 00
00 03 (等级?)
00 00
00 04 (活跃天数)
00 00
00 01 (剩余升级天数)
00
32 (消息长度)
C9 D0 CE B4 BF AA CD A8 BB E1 D4 B1 A3 AC C1 A2 BC B4 B5 E3 BB F7 C1 CB BD E2 BB E1 D4 B1 CC D8 C8 A8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00(消息内容:尚未开通会员,立即点击了解会员特权)
00
28 (消息长度)
B5 C8 BC B6 A3 BA 30 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (消息内容:(等级:0 )
00
46 (消息长度)
BB EE D4 BE CC EC CA FD A3 BA 34 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (消息内容:活跃天数:4 )
00
46 (消息长度)
C9 FD BC B6 CA A3 D3 E0 BB EE D4 BE CC EC CA FD A3 BA 31 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (消息内容:升级剩余活跃天数:1 )
00
28 (消息长度)
51 51 BB E1 D4 B1 B3 C9 B3 A4 BD D7 B6 CE A3 BA 56 49 50 24 56 49 50 24 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (消息内容:(QQ会员成长阶段:VIP$VIP$ )
00
32 (消息长度)
B5 C8 BC B6 A3 BA 24 4C 45 56 45 4C 24 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (消息内容:等级:$LEVEL$ )
00
32 (消息长度)
B5 C8 BC B6 A3 BA 24 4C 45 56 45 4C 24 20 A3 AC 51 51 BB E1 D4 B1 BC D3 CB D9 C9 FD BC B6 D6 D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00(消息内容:等级:$LEVEL$ ,QQ会员加速升级中 )
二十七、QQ2008未知命令0x118
a) 0x223e 客户端
原始数据:
02 11 5b 01 18 22 3e 38 25 f5 91 9d 1a 13 76 d4 34 63 c2 fe 42 7c 54 6d 73 3a f2 c4 aa a0 01 63 c5 c2 60 03

QQ2008包头:
02 11 5b
命令:
01 18
序号:
22 3e
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
01(子命令)
38 25 F5 91 (自己QQ号码)
00 00 00 00 (未知)

b) 0x223e 服务器
原始数据:
02 11 5b 01 18 22 3e f8 f1 5b ea 04 9c 31 f9 e3 d9 dd 7f 8a 19 99 73 03

解密QQ2008数据(SessionKey):
01 (子命令)
01 00 00 (未知)

二十八、QQ2008未知命令0x109
c) 0x2244 客户端
原始数据:
02 11 5b 01 09 22 44 38 25 f5 91 39 b9 80 37 77 5b ad 80 ef cd 97 56 ea 70 b5 a6 00 7c b3 d3 51 54 72 14 03

QQ2008包头:
02 11 5b
命令:
01 09
序号:
22 44
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
02 (子命令)
38 25 F5 91(自己QQ号码)
00 00 00 00 00 00 00 00(未知)

d) 0x2244 服务器
原始数据:
02 11 5b 01 09 22 44 aa 63 c9 a2 93 8b 8b 90 19 09 2a 6d ce 04 66 4a 3e a3 b2 4d 35 0e 87 f1 57 3c d5 9e 62 fe dd fb 82 8b 35 2b 90 5b 40 8b 0e f3 b8 56 d7 c9 a8 93 f5 e9 54 bf 0c a0 4f 8b 03

解密QQ2008数据(SessionKey):
02 (子命令)
01 00 00 00 00 00 00 00 00 00 00 00 08 00 00 01 90 00 00 00 00 00 00 00 00 00 00 C8 00 00 00 00 05 00 00 00 0F 00 00 00 01 00 00 00 00

二十九、QQ2008无聊信息0xd8
a) 0x2248 客户端
原始数据:
02 11 5b 00 d8 22 48 38 25 f5 91 de 37 69 66 98 2b f3 67 68 86 60 57 d2 77 a4 3b fc 03 40 8e ec a4 09 1d ae b6 ac 91 e2 18 dc 3f b8 03 ef ed e8 5f 8f 55 97 96 dd cf 94 d2 10 e7 03

QQ2008包头:
02 11 5b
命令:
00 d8
序号:
22 48
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
06(子命令)
00 00 00 00 00 1E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00(未知)

b) 0x2248 服务器
原始数据:
02 11 5b 00 d8 22 48 65 9f ae 2f 4b 73 a5 31 bb 93 2a 5e 91 96 5d 2b 55 3b 1f 55 d0 11 03 c3 a8 a1 82 5d 72 43 06 d5 af 89 ed bd f7 66 90 b7 6e c0 0a cd 25 ac f2 94 00 32 05 60 8f 85 08 2b 1a 01 48 9f de f2 dd 49 d4 b6 a6 1a bb 92 8d 0b 80 66 95 d3 d0 3a be cb 2e c1 18 48 83 da b3 bf 7a d8 05 d1 b9 10 99 e5 b8 0b df 87 0d e6 e1 4d e9 ec 53 26 63 2d 0c 13 6d dd 5e e3 42 3d ba b8 03

解密QQ2008数据(SessionKey):
06 (子命令)
00 00 00 00 00 00 00 00 00
00
11 (字符串长度)
BD F8 C8 EB CE CA CE CA B8 F6 C8 CB D6 D0 D0 C4 00 (字符串内容:进入问问个人中心)
00
4A (字符串长度)
68 74 74 70 3A 2F 2F 6A 75 6D 70 2E 71 71 2E 63 6F 6D 2F 63 6C 69 65 6E 74 75 72 6C 5F 32 31 36 3F 63 6C 69 65 6E 74 75 69 6E 3D 24 55 49 4E 24 26 63 6C 69 65 6E 74 6B 65 79 3D 24 4B 45 59 24 26 74 3D 36 26 66 3D 33 30 00(字符串内容:
http://jump.qq.com/clienturl_216?clientuin=$UIN$&clientkey=$KEY$&t=6&f=30


三十、QQ2008未知命令0x120
a) 0x2248 客户端
原始数据:
02 11 5b 01 20 22 48 38 25 f5 91 45 16 95 e5 41 11 66 59 7c dd 0b a9 a5 58 c8 46 f2 26 37 d3 49 67 7b 2a 03

QQ2008包头:
02 11 5b
命令:
01 20
序号:
22 48
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
00 00 00 01 00 01 01 (未知)

b) 0x2248 服务器
原始数据:
02 11 5b 01 20 22 48 34 b7 a4 f9 ca 24 9e 17 5c e0 6c 14 12 09 c1 0d 72 84 b0 eb 53 75 3f 03 8c b6 a6 b9 05 f3 ba 5d 76 0e d8 37 48 7b 9e eb b7 18 0b e5 be a5 8e 5b 6a ae ac 67 a3 c6 77 d6 74 55 b9 1a 36 3d ff 51 28 06 51 8e 9e fd 43 5b 03

解密QQ2008数据(SessionKey):
00 00 00 00 00 01 01 00 00 01 00 01 48 9C 35 40 48 B1 85 80 24 47 4B A4 06 DB 80 00 00 47 7D 97 B8 47 4B A4 06 47 9A B1 3E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 (未知)

三十一、QQ2008保存信息0xa1
c) 0x2248 客户端
原始数据:
02 11 5b 00 a1 22 48 38 25 f5 91 0a 2d 3e 1e f0 60 06 79 89 08 fe 81 86 3e 1f c0 ba 3e 78 28 08 13 f8 fe 6e ac 1f 0f 26 c6 37 b3 f1 f2 cf 8b f9 28 42 ba 93 86 5f 07 0c 40 8e d2 f9 dd c1 68 56 df 98 f3 04 25 9a 1c ed 43 52 0c 28 c2 67 8a 8c 0c 4b 3a 41 0c 79 11 b1 b3 79 f3 44 2d 03 4e 40 fa cb 4d 8f 5e 69 64 f9 87 93 fe 1c cd 4a 67 ba 70 5e 53 3e be 1e a9 9f 1b 35 82 5a 73 b6 1e 88 d3 e3 e2 62 f1 7d 54 b3 76 85 33 35 d9 0f cf 1f ba 88 90 fe dc ae f9 5b d3 ac 10 92 67 fe 17 f9 5a 13 4b d3 26 0d 79 9f c8 e1 6d 05 9f 09 44 55 36 9d 3b fb 82 39 a6 2a e7 6c 6d 57 42 92 89 af 00 84 93 66 f3 b7 57 8d 0c db ee 3a c4 35 e6 22 98 6b 43 e8 c6 17 e2 60 e0 8c ca 38 ff 88 83 a3 ff 75 81 82 95 3a 69 67 a3 3f 8b 03

QQ2008包头:
02 11 5b
命令:
00 a1
序号:
22 48
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
B7 A6 F7 A5 13 4B 31 CF 21 92 76 06 93 F8 54 9A (钥匙,和注销的那个一样)
01
00 00 00 00 00 B5 14 09 09 00 B4 00 00 00 00 00 04 0E 00 01 00 00 00 00 00 01 E9 03 03 00 00 00 00 00 0D 0C 00 00 06 54 0B 84 08 0D 0D 00 00 02 27 C6 00 00 0D 17 00 00 80 00 00 00 00 14 0F 00 00 00 00 00 00 00 12 01 00 00 00 02 00 00 00 06 23 00 FF FF FF FF 02 00 13 04 00 01 00 00 00 05 00 06 22 00 01 00 00 00 00 00 12 66 00 00 00 00 00 03 00 06 1F 00 00 00 00 00 00 00 06 21 00 1E 00 00 03 00 04 12 62 00 00 00 01 00 00 00 06 20 00 D7 00 1F 02 15 03 09 05 00 54 00 36 02 00 00 06 17 00 00 00 01 00 00 00 0B 01 00 09 00 00 00 00 00 0C 02 00 01 00 00 00 00 00 F4 9F 00 CD(暂无法分析)
样本2
51 BC 1F 7A D2 09 E8 42 7B E7 75 C5 1E DF 9D 28
01
00 00 00 00 00 B5 14 09 09 00 B4 00 00 00 00 00 06 10 00 00 00 01 00 00 00 01 E9 03 03 00 00 00 00 00 0D 0C 00 00 06 54 0B 88 15 0D 17 00 00 80 00 00 00 00 14 0F 00 00 00 00 00 00 00 12 01 00 00 00 03 00 00 00 06 23 00 FF FF FF FF 02 00 13 04 00 01 00 00 00 07 00 06 22 00 01 00 00 00 00 00 12 66 00 00 00 00 00 03 00 06 1F 00 00 00 00 00 00 00 06 21 00 1E 00 00 03 00 04 12 62 00 00 00 01 00 00 00 06 20 00 D7 00 1F 02 15 03 09 05 00 7D 00 AC 03 00 00 06 17 00 01 00 00 00 00 00 0B 01 00 02 00 00 00 00 00 0B 03 00 03 00 00 00 00 00 0C 02 00 01 00 00 00 00 00 A6 47 14 CB
样本3
51 BC 1F 7A D2 09 E8 42 7B E7 75 C5 1E DF 9D 28
01
00 00 00 00 00 BE 15 09 09 00 BD 00 00 00 00 00 04 0E 00 01 00 00 00 00 00 06 15 00 01 00 00 00 00 00 01 E9 03 03 00 00 00 00 00 0D 0C 00 00 06 54 0B 84 08 0D 0D 00 00 02 27 C6 00 00 0D 17 00 00 80 00 00 00 00 14 0F 00 00 00 00 00 00 00 12 01 00 00 00 01 00 00 00 06 23 00 00 00 00 00 01 00 13 04 00 01 00 00 00 13 00 06 22 00 01 00 00 00 00 00 12 66 00 00 00 00 00 03 00 06 1F 00 00 00 00 00 00 00 06 21 00 53 00 00 03 00 04 12 62 00 00 00 01 00 00 00 06 20 00 D7 00 1F 02 15 03 09 06 00 70 03 21 98 00 00 06 17 00 00 00 01 00 00 00 0B 01 00 02 00 00 00 00 00 0C 02 00 01 00 00 00 00 00 47 FC CA EF
样本4
47 3E CB 91 91 68 F3 E7 0E A9 14 49 84 4F 5C 3C
01
00 00 00 00 00 FD 1C 09 09 00 FC 00 00 00 00 00 04 0E 00 02 00 00 00 00 00 06 15 00 02 00 00 00 00 00 01 E9 03 07 00 00 00 00 00 0D 0C 00 00 06 54 0B 84 08 0D 0D 00 00 02 27 C6 00 00 0D 17 00 00 80 00 00 00 00 14 0F 00 00 00 00 00 00 00 06 24 00 01 00 00 00 00 00 13 11 00 00 00 00 00 01 00 06 18 00 00 00 00 00 FF 00 14 18 00 00 00 00 00 00 00 06 2B 00 00 00 01 00 00 00 12 01 00 00 00 01 00 00 00 06 23 00 00 00 00 00 01 00 13 04 00 01 00 00 00 0A 00 06 22 00 01 00 00 00 00 00 10 05 00 00 00 00 00 00 00 10 06 00 00 00 00 00 00 00 12 66 00 00 00 00 00 03 00 06 1F 00 00 00 00 00 00 00 06 21 00 53 00 00 03 00 04 12 62 00 00 00 01 00 00 00 06 20 00 D7 00 1F 02 15 03 09 06 00 1E 01 1D 0D 00 00 06 17 00 00 00 01 00 00 00 0B 01 00 F3 00 00 00 00 00 0C 02 00 01 00 00 00 00 00 F2 16 15 9D
样本5
A6 C5 7B 94 7D 2D 6F 4F F3 44 E5 4A 76 74 F2 DF
01
00 00 00 00 00 D0 17 09 09 00 CF 00 00 00 00 00 04 0E 00 01 00 00 00 00 00 06 15 00 01 00 00 00 00 00 14 18 00 01 00 00 00 00 00 01 E9 03 02 00 00 00 00 00 0D 0C 00 00 06 54 0B 84 08 0D 0D 00 00 02 27 C6 00 00 0D 17 00 00 04 00 00 00 00 14 0F 00 00 00 00 00 00 00 12 01 00 00 00 01 00 00 00 06 23 00 01 00 00 00 01 00 13 04 00 01 00 00 00 29 00 06 22 00 01 00 00 00 00 00 12 66 00 00 00 00 00 03 00 06 1F 00 00 00 00 00 00 00 06 21 00 11 27 00 03 00 04 12 62 00 00 00 01 00 00 00 06 20 00 D7 00 1F 02 15 03 09 06 00 B4 00 1E 14 00 00 05 07 00 01 00 02 00 00 00 06 17 00 00 00 01 00 00 00 0B 03 00 03 00 00 00 00 00 0C 01 00 01 00 00 00 00 00 09 9D CF 50
三十二、QQ2008发送消息0x16
a) 0x???? 客户端
正文数据:
67 23 b9 66 89 89 f2 2b 97 30 b6 da a7 e1 92 18 21 7a 04 ee de 7d a0 5f d0 4b ef 23 d0 24 4a 32 8f 13 ec 33 7c 65 f8 d1 37 97 ce 5a 7c 7e 63 e3 e4 73 34 a8 a2 ae e2 d7 f8 d3 d0 a4 dc c2 91 50 7c 03 a6 ad 86 88 10 a8 81 18 5d e6 6f cc f5 90 e9 1e 1a 59 bb ee 9a aa
QQ2008包头:
02 11 5b
命令:
00 16
序号:
????
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
38 25 F5 91 (发送者QQ号)
15 4C 8F 9C (接受者QQ号)
11 5B (发送者QQ版本)
38 25 F5 91 (发送者QQ号)
15 4C 8F 9C (接收者QQ号)
56 0D F1 87 CF 88 E0 A2 6E F7 6F B9 72 44 AB A5 (发送者QQ号和session key合在一起用md5处理一次的结果)
00 0B (消息类型)
57 F3 (会话ID)
47 FC 89 1D (发送时间)
00 00 (头像)
00 00 00 01 (字体信息)
01 (消息分片数目)
00 (分片序号)
B2 00 (消息ID)
01 (是发送还是自动回复)
68 65 6C 6C 6F 0A 20 00 (消息内容,结尾需要追加一个空格)
0A (字体属性)
00 00 00 (字体颜色RGB)
00 (未知)
86 02 (字符编码:0x8602表示GB)
CB CE CC E5 (字体名称)
0D (字体有关选项及此字节的总字节数)
三十三、QQ2008心跳信息0x02
a) 0x???? 客户端
正文数据:
02 6d 80 b4 f2 61 9d 62 4c 2d 45 53 fc 9c 41 07 f3 8c c9 dd 31 8b 5d 47QQ2008包头:
02 11 5b
命令:
00 02
序号:
????
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
38 25 F5 91 48 00 85 C8(QQ号码+本次登录时间)

b) 0x???? 服务器
正文数据:
02 6d 80 b4 f2 61 9d 62 4c 2d 45 53 fc 9c 41 07 f3 8c c9 dd 31 8b 5d 47QQ2008包头:
02 11 5b
命令:
00 02
序号:
????
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
00
01 F1 2E 19 (在线用户数)
3D 92 9F 01 (客户端ip)
08 C4 (客户端端口)
00 3C (未知)
48 00 86 04 (服务器时间)
00 00 00 00 00

三十三、QQ2008接收消息0x17
a) 0x???? 服务器
QQ2008包头:
02 11 5b
命令:
00 17
序号:
????
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
12 3A 12 CA (发送者QQ)
38 25 F5 91 (接收者QQ)
00 0E 05 4E (序号)
79 0E 60 3C (发送者IP)
1F 40 (端口)
00 84 (类型)
11 5B (版本号)
12 3A 12 CA (发送者QQ)
38 25 F5 91 (接收者QQ)
E3 3E 67 A2 1D B0 88 75 FC D7 99 E1 A6 D9 C3 1B (md5处理的发送方的uid和session key)
00 81 (是否普通消息)
B5 74 (会话ID)
48 00 85 D4 (发送时间)
00 00 (发送头像)
00 00 00 01 (字体属性相关,一般是0x00000001)
00 (消息分片数)
00 (分片序号)
00 00 (消息id)
00 (消息类型,是否自动回复)
00 00 00 C5 E4 E1 88 04 A2 E0 47 A6 42 8B 3A DD 85 1F BF 00 6B 00 00 00 00 00 01 00 00 B5 74 DA 0F CA E4 00 00 01 00 00 27 0F 00 02 00 00 00 FF 00 01 00 00 00 3A 01 00 18 12 3A 12 CA 47 3C 83 A0 6D C6 EF 21 19 D4 BE D0 FF C4 80 3F DB 71 26 CB 02 00 1C 00 00 00 00 00 00 00 00 00 00 00 00 79 0E 61 06 00 00 00 00 00 00 00 00 00 00 00 00

b) 0x???? 客户端
QQ2008包头:
02 11 5b
命令:
00 02
序号:
????
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
12 3A 12 CA 38 25 F5 91 00 0E 05 4E 79 0E 60 3C(接收包的解密QQ2008数据前16字节)

c) 0x???? 服务器
QQ2008包头:
02 11 5b
命令:
00 17
序号:
????
QQ号码:
10 4A 61 E3
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
15 4C 8F 9C (发送者QQ)
10 4A 61 E3 (接收者QQ)
00 0C 89 9C (序号)
DB 85 3E 34 (发送者IP)
1F 40 (端口)
00 84 (类型)
11 5B (版本号)
15 4C 8F 9C (发送者QQ)
10 4A 61 E3 (接收者QQ)
C3 45 F9 AE E5 C3 99 7A 59 4F 1B A6 F8 E9 FD 7A (md5处理的发送方的uid和session key)
00 0B (是否普通消息)
3C DA (会话ID)
48 14 14 9F (发送时间)
00 8D (发送头像)
00 00 00 01 (字体属性相关,一般是0x00000001)
00 (消息分片数)
00 (分片序号)
00 00 (消息id)
00 (消息类型,是否自动回复)
00 00 00 (未知)
01 00 CB 00 01 (未知)
68 65 6C 6C 6F 0A 20 00 (消息内容)
0A (尾部字节数,包括本字节)
00 (字体大小)
00 00 00 (RGB)
86 02 (GB2312)
CB CE CC E5 (宋体)
0D (未知)

d) 0x???? 服务器
QQ2008包头:
02 11 5b
命令:
00 17
序号:
????
QQ号码:
10 4A 61 E3
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
1c aa 5d 98 (内部群号)
38 25 f5 91 (接收者QQ)
00 0d d0 71 (序号)
79 0e 4e 20 (发送者IP)
1f 40 (端口)
00 2b (类型)
00 b5 fe 58 (外部群号)
01 (群类型)
00 8b eb 72 (发送者QQ号)
00 00
57 48 (消息序号)
48 12 96 8b (时间)
00 00 01 b9 (未知)
00 3c 00 01 01 00
40 47 (ID?)
00 00 00 00
d3 d0 d0 a9 b6 ab ce f7 b2 bb d3 c3 d4 cb d0 d0 bf b4 b4 fa c2 eb d3 a6 b8 c3 be cd bf c9 d2 d4 d6 aa b5 c0 20 00 (消息内容)
09 00 00 00 00 86 02 cb ce cc e5 0d(字体属性)
三十四、QQ2008系统公告0x80
a) 0x???? 服务器
QQ2008包头:
02 11 5b
命令:
00 80
序号:
????
QQ号码:
38 25 f5 91
加密QQ2008数据:

QQ2008包尾:
03

解密QQ2008数据(SessionKey):
30 36 (“06”)
1f
31 30 30 30 30 (“10000”)
1f
32 37 33 33 31 30 31 37 39 (“273310179”)
1f
20 20 20 20 20 20 a9 b3 20 20 20 20 20 20 20 20 d7 ee c0 cb c2 fe b5 c4 d2 f4 c0 d6 ce e8 b5 b8 d3 ce cf b7 20 20 20 20 20 20 20 a9 b7 0d 0a 0d 0a 20 20 20 20 20 20 20 20 20 20 20 a1 b6 a3 d1 a3 d1 ec c5 ce e8 a1 b7 a3 b5 d4 c2 a3 b2 a3 b2 c8 d5 c0 cb c2 fe b9 ab b2 e2 0d 0a 0d 0a 20 20 20 20 20 20 a9 bb 20 20 20 20 20 20 20 20 20 20 20 20 20 20 c7 c0 cf c8 cf c2 d4 d8 a3 a1 20 20 20 20 20 20 20 20 20 20 20 a9 bf 0a 20 20 68 74 74 70 3a 2f 2f 70 72 6f 2e 71 71 2e 63 6f 6d 2f 3f 50 75 73 68 49 44 3d 31 34 38 39 26 4d 73 67 49 6e 66 6f 49 44 3d 31 30 39 37 36

Others:
被添加为好友会收到不同的命令,需要作出不同的应答。具体见myqq2.4以上版本代码。
0x80被拒绝添加为好友
30 34 (04)
1F
33 35 37 33 33 39 30 33 36
1F
32 37 33 33 31 30 31 37 39
1F
1F 00 30 34 65 35 35 38 65 38 34 37 65 37 32 66 32 32 33 39 63 32 33 37 65 62 64 65 66 66 64 37 64 34 61 33 61 36 66 39 63 36 63 35 61 37 63 30 35 32 30

0x80添加好友通知:
(2)
34 31 1F
33 35 37 33 33 39 30 33 36 1F
39 36 34 30 30 30 33 38 30 1F
06 69 6D 20 78 69 61
01
00 30
37 34 64 33 36 39 34 30 32 37 63 64 63 36 65 39 30 31 66 34 34 36 31 34 64 36 63 31 32 63 34 62 39 30 35 37 34 32 30 39 64 39 64 30 66 37 33 63

34 31 ( “41”)
1F
39 34 32 30 31 31 37 39 33 (对方号码)
1F
32 37 33 33 31 30 31 37 39 (自己号码)
1F
08 (len)
68 75 61 6E 67 79 61 2E (备注)
01
00 30
61 37 39 38 65 37 35 32 35 39 33 32 65 34 65 65 32 36 34 30 38 66 37 34 63 64 37 34 63 34 31 33 37 31 62 35 34 61 34 61 63 62 33 33 33 31 31 35(48字节字符串,a798e7525932e4ee26408f74cd74c41371b54a4acb333115,可能是令牌)

34 30
1F
33 35 37 33 33 39 30 33 36 1F
39 36 34 30 30 30 33 38 30 1F
18
34 A3 FE E8 5F 92 D5 B8 CA 12 3E CB 37 FC 7A 29 AC BD 38 CE 02 90 5D 3F
00 30 64 36 35 31 66 30 38 64 33 66 61 36 64 37 33 66 61 33 34 61 33 30 61 31 35 61 38 33 37 34 37 62 66 38 63 61 34 34 30 36 66 65 36 65 66 34 32 62
B5
03 01 15 4C 8F 9C 00 30 64 36 35 31 66 30 38 64 33 66 61 36 64 37 33 66 61 33 34 61 33 30 61 31 35 61 38 33 37 34 37 62 66 38 63 61 34 34 30 36 66 65 36 65 66 34 32 62
A8
01
15 4C 8F 9C
00 00
18
34 A3 FE E8 5F 92 D5 B8 CA 12 3E CB 37 FC 7A 29 AC BD 38 CE 02 90 5D 3F
00

34 32 1F 33 35 37 33 33 39 30 33 36 1F 39 36 34 30 30 30 33 38 30 1F 02 00 30 30 32 32 61 39 32 63 65 66 65 36 61 34 38 30 66 39 61 39 65 34 64 65 39 64 66 63 36 35 32 32 64 61 32 38 34 31 33 62 38 62 66 34 39 64 65 31 62
A7:
C:15 4C 8F 9C
S: 15 4C 8F 9C 00 01

0xB5 Verify Adding Message
(2)

0xb5
C:
03 01 15 4C 8F 9C
00 30
37 34 64 33 36 39 34 30 32 37 63 64 63 36 65 39 30 31 66 34 34 36 31 34 64 36 63 31 32 63 34 62 39 30 35 37 34 32 30 39 64 39 64 30 66 37 33 63
S:
03 01 15 4C 8F 9C 00 00 00 00

To:
03
01 (Reversable)
38 25 F5 91
00 30
61 37 39 38 65 37 35 32 35 39 33 32 65 34 65 65 32 36 34 30 38 66 37 34 63 64 37 34 63 34 31 33 37 31 62 35 34 61 34 61 63 62 33 33 33 31 31 35
From:
03 01 38 25 F5 91 00 00 00 00

0xb8 AddFriend Auth Ex
To:03 38 25 F5 91 00 00 00
From:03 38 25 F5 91 00

2)
34 31 1F 39 34 32 30 31 31 37 39 33 1F 32 37 33 33 31 30 31 37 39 1F 06 68 65 79 68 65 79 02 00 30 36 65 63 64 30 32 64 31 36 62 63 37 31 65 30 64 31 32 66 65 31 33 61 30 37 31 36 66 35 37 33 38 34 32 30 38 62 31 63 33 33 32 63 65 30 32 63 38
0xB5
To: 03 01 38 25 F5 91 00 30 36 65 63 64 30 32 64 31 36 62 63 37 31 65 30 64 31 32 66 65 31 33 61 30 37 31 36 66 35 37 33 38 34 32 30 38 62 31 63 33 33 32 63 65 30 32 63 38
From:
03 01 38 25 F5 91 00 00 00 00
0xB8:
To:
04 38 25 F5 91 00 00
From:
04 38 25 F5 91 00

0xA7 AddFriend Ex
To:
38 25 F5 91
From:
38 25 F5 91 00 01

0xAe Auth Info
To: 01 00 01 38 25 F5 91
From:
01 00 01 00
00 20
51 91 C1 1D A2 FE 89 F3 47 92 E8 DE 4F 3E B3 A5 41 0A 04 DD A0 7A 2C F4 73 54 1E 69 68 C6 B9 09

0xA8:
(2)
C:
03 15 4C 8F 9C 00 00 00
S:
03 15 4C 8F 9C 00

To:
02 38 25 F5 91 00 00 00 20 51 91 C1 1D A2 FE 89 F3 47 92 E8 DE 4F 3E B3 A5 41 0A 04 DD A0 7A 2C F4 73 54 1E 69 68 C6 B9 09 01 00 02 6D 65
From:
02 38 25 F5 91 00
0x80:
30 33
1F
39 34 32 30 31 31 37 39 33
1F
32 37 33 33 31 30 31 37 39 1F
30
1F
00 30
31 66 66 37 64 63 36 37 63 30 37 61 66 34 62 63 31 63 39 32 64 65 66 66 34 65 39 64 32 30 63 34 62 32 66 63 61 36 35 37 65 34 62 39 37 62 38 30
0xb5:
To: 03 01 38 25 F5 91 00 30 31 66 66 37 64 63 36 37 63 30 37 61 66 34 62 63 31 63 39 32 64 65 66 66 34 65 39 64 32 30 63 34 62 32 66 63 61 36 35 37 65 34 62 39 37 62 38 30

0x3e
Memo Op:
To:05
38 25 F5 91
08
4D 79 20 64 65 61 72 21
From:
05 00

0xd5
39 75 7A 7C 15 4C 8F 9C

0x73包,获取在线成员信息(用于群)
02
02 1B 96 81
02 D9 86 B8
07 5A CD 9A
0A 47 AB CA
0A EF 2F 3F
0B 0C F3 8E
0E 51 0D B0
0E C5 74 D2
0F 12 0C B2
0F 6A 7A 88
10 08 E6 E1
10 4A 61 E3
10 B8 74 4A
11 B6 E4 20
12 3A 12 CA
12 6B CB 89
13 5A 43 F4
13 82 D0 C0
13 96 10 A6
14 90 C9 0B
14 93 BD A5
14 99 2D BF
14 FB 14 11 15 10 57 37 15 4C 8F 9C 15 51 34 3C 15 70 BA 7E 15 7B C5 BD 15 B4 48 68 15 C3 49 5B
返回格式和27包一致
FF
14 99 2D BF
01 00 00 00 00 00 00 00 0A 07 0B F7 EE FB 5A A2 BB A7 15 8B 8C 1E 34 01 FE 91 17 00 89 02 00 00 00 00 00 00 00 00
15 10 57 37
01 00 00 00 00 00 00 00 0A 07 13 F7 EE FB 5A A2 BB A7 15 8B 8C 1E 34 01 FE 91 17 00 81 06 E2 00 00 00 00 00 00 00
15 B4 48 68
01 00 00 00 00 00 00 00 0A 06 FF F7 EE FB 5A A2 BB A7 15 8B 8C 1E 34 01 FE 91 17 03 89 02 C2 00 00 00 00 00 00 00
15 C3 49 5B
06 00 00 00 00 00 00 00 0A 04 C7 F7 EE FB 5A A2 BB A7 15 8B 8C 1E 34 01 FE 91 17 00 81 22 50 00 05 01 00 00 00 00

Ae:
C:
01 42 00 10 4A 61 E3
S:
01 42 00 00 00 20 10 AB D2 7E 9F 1A D2 CE 5C 03 9A 61 1B 95 9A 9D E8 6B A1 8D FC 38 D9 51 13 75 34 A7 45 34 A8 56

E1:
C:
39 75 7A 7C
10 4A 61 E3
00 5F 01 02
00 00 00 00
00 00
00 00 00 00
20
10 AB D2 7E 9F 1A D2 CE 5C 03 9A 61 1B 95 9A 9D E8 6B A1 8D FC 38 D9 51 13 75 34 A7 45 34 A8 56
00 30
6C E0 F0 77 25 AA B9 01 10 5B B1 AE B6 AE 54 43 16 57 D5 A4 20 CE D6 CC E9 45 56 CD 3C 23 3D EC 82 AA 30 F7 05 88 3C 9B 6D 6E B8 B7 82 A3 52 11
12 05
39 75 7A 7C
10 4A 61 E3
C2 B5 83 8B AB 1B 35 BA 88 AF E6 A6 BC 57 5B 87
00 0B
00 81
48 86 D8 2C
00 00
00 00 00 01
01 00 2F 00 01
68 65 6C 6C 6F 20 00
0A 00 00 00 00 86 02 CB CE CC E5 0D
S:

本篇文章来源于 中国协议分析网|www.cnpaf.net 原文链接:http://www.cnpaf.net/Class/OtherAnalysis/200810/23080.html
2010-3-26 15:57
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
不错,值得学习
2010-5-26 15:03
0
雪    币: 387
活跃值: (25)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
20
如果衣食无忧, 天天一帮人一起研究技术,还是挺不错的
2010-7-7 17:43
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
牛X 协议分析的非常的透彻
2010-10-24 22:21
0
雪    币: 382
活跃值: (352)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
22
...myqq2009不是都有源码嘛。。huangxiaoxia 的那个
2010-10-25 10:03
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
tag:QQ
2010-12-24 22:18
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lja
24
看贴回贴,尊重别人劳动成果.
2011-4-9 00:22
0
雪    币: 870
活跃值: (2264)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
很好的文章
2018-9-16 21:37
0
游客
登录 | 注册 方可回帖
返回
//