我用来分析QQ协议的简单sniffer http://group.qqread.com/viewthread.php?tid=10960

最新推荐文章于 2025-05-25 13:37:11 发布
转载 最新推荐文章于 2025-05-25 13:37:11 发布 · 1.6w 阅读 · 1
文章标签:

#qq #struct #login #token #signal #buffer

我用来分析QQ协议的简单sniffer

[anda@thinkpad ~]$ cat qqmonitor.c

/*
* OICQ Simple sniffer programme for UNIX.
* Author < missanda@hotmail.com> QQ 8907673
*
**/

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

void usage(void);
void usage(void)
{

    fprintf(stderr,"qqmonitor usage:/n");
    fprintf(stderr,"qqmonitor /n");
    fprintf(stderr,"example:/n");
    fprintf(stderr,"1. qqmonitor eth0/n");
    return;
}

static int sniffer_fd = 0;

void sniffer_exit(int signo);
void sniffer_exit(int signo)
{

    printf("sniffer signal %d recvied exiting .../n",signo);
    close(sniffer_fd);
    exit(0);
}

#define BUFFER_SIZE   65536   /*64K*/

static unsigned char buff[BUFFER_SIZE];

#define HWADDR(addr) /
  ((unsigned char *)&addr)[0], /
  ((unsigned char *)&addr)[1], /
  ((unsigned char *)&addr)[2], /
  ((unsigned char *)&addr)[3], /
  ((unsigned char *)&addr)[4], /
  ((unsigned char *)&addr)[5]

#define NIPQUAD(addr) /
  ((unsigned char *)&addr)[0], /
  ((unsigned char *)&addr)[1], /
  ((unsigned char *)&addr)[2], /
  ((unsigned char *)&addr)[3]

void parse_packet(unsigned char*buff,int len);
void parse_packet_arp(unsigned char*buff,int len);
void parse_packet_ip(unsigned char*buff,int len);

void parse_qq_login(unsigned char*buff,int len,int direction);
void parse_qq_login_token(unsigned char*buff,int len,int direction);
void parse_qq_unknown(unsigned char *buff,int len,int direction);

void parse_qq_login_token(unsigned char*buff,int len,int direction)
{

    unsigned char*p = NULL;
    int i = 0;
    uint32_t tmp32 = 0;

    if(!buff||len==0){
          return;
    }

    p = buff;

    printf("qq login token data %d bytes:/n",len);

    for(i=0;i           printf("%02X ",p );
          if(i&&((i%8)==0))
                printf("/n");
    }
    printf("/n");

    if(direction == 1){
          printf("reply data:/n");
          printf("request token %s/n",p[0]==0?"succeed":"failed");
          if(p[0] == 0x00){
                printf("token length %d bytes/n",p[1]);
                printf("login token : ");
                for(i=0;i                     printf("%02X ",p[i+1]);
                }
          }
    }
    else
    {
          printf("request data:/n");
          tmp32 = ntohl(*((uint32_t*)&p[0]));
          printf("request QQ %d/n",tmp32);
    }

    return ;
}

void parse_packet_ip(unsigned char*buff,int len)
{
    struct iphdr *ip = (struct iphdr *)buff;
    struct in_addr in;
    unsigned char *p = NULL;
    int data_len = 0;
    uint16_t cmd = 0;
    uint16_t seq = 0;
    uint16_t ver = 0;
    uint32_t id = 0;
    int port = 0;
    int direction = 0; /*1 = server -> client 0 = client -> server*/
    int i = 0;

#if 0
    printf("ip protocol/n");
    printf("version : %d/n",ip->version);
    printf("header length : %d bytes/n",ip->ihl*4);
    printf("tos : 0x%02X/n",ip->tos);
    printf("total length : %d/n",ntohs(ip->tot_len));
    printf("identification : %d/n",ntohs(ip->id));
    printf("flags: %02X %02X/n",((unsigned char*)&ip->frag_off)[0],((unsigned char*)&ip->frag_off)[1]);
    printf("ttl : %d/n",ip->ttl);
    printf("protocol : %d/n",ip->protocol);
    printf("checksum : 0x%02X%02X/n",((unsigned char*)&ip->check)[0],((unsigned char*)&ip->check)[1]);

#endif

    //printf("ip->protocol = %d/n",ip->protocol);
    switch(ip->protocol){
          case IPPROTO_TCP:
                /*TCP data*/
                p = buff + sizeof(struct iphdr) + sizeof(struct tcphdr);
                data_len = len - sizeof(struct iphdr) - sizeof(struct tcphdr);
                port = ((struct tcphdr*)(buff+sizeof(struct iphdr)))->source;
                port = ntohs(port);
          case IPPROTO_UDP:
                /*UDP data.*/
                p = buff + sizeof(struct iphdr) + sizeof(struct udphdr);
                data_len = len - sizeof(struct iphdr) - sizeof(struct udphdr);
                port = ((struct udphdr*)(buff+sizeof(struct iphdr)))->source;
                port = ntohs(port);
                break;
          default:
                //printf("unknow protocol./n");
                return;
                break;
    }

//     printf("data_len = %d p[0] = %02x p[%d] = %02x/n",data_len,p[0],data_len-1,p[data_len-1]);

    if(p[0]!=0x02 || p[data_len-1]!=0x03){
          //not oicq data.
          return;
    }

    printf("oicq data %s :/n",(ip->protocol==IPPROTO_TCP)?"tcp":"udp");
    printf("*source     ip address : %d.%d.%d.%d:%d/n",NIPQUAD(ip->saddr),port);
    printf("*destination ip address : %d.%d.%d.%d:%d/n",NIPQUAD(ip->daddr));

    // oicq 7 bytes header.
    ver = ntohs(*((uint16_t*)&p[1]));
    cmd = ntohs(*((uint16_t*)&p[3]));
    seq = ntohs(*((uint16_t*)&p[5]));

    printf("oicq version : 0x%04x/n",ver);
    printf("oicq command : 0x%04x/n",cmd);
    printf("oicq sequence : 0x%04x/n",seq);

    printf("data length   : %d/n",data_len);

    if(ver == 0x0100 || ver == 0x0000){
          direction = 1; /*server to client*/
    }
    else
    {
          direction = 0; /*client to server*/
    }

    p = &p[7];

    switch(cmd){
          //pre-login command -- high verion
          case 0x0062:
                printf("* login token %d bytes/n",data_len);
                parse_qq_login_token(p,data_len,direction);
                break;
          //logout command
          case 0x0001:
                printf("* logout/n");
                id = ntohl(*((uint32_t*)&p[0]));
                printf(" %d logouted /n",id);
                printf(" server address %d.%d.%d.%d/n",NIPQUAD(ip->daddr));
                printf(" client address %d.%d.%d.%d:%d/n/n",NIPQUAD(ip->saddr),port);
                break;
          //login command
          case 0x0022:
                printf("* login/n");
                parse_qq_login(p,data_len,direction);
                break;
          case 0x0002:
                printf("* keep alive/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0004:
                printf("* modify information/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0005:
                printf("* search onlines/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0006:
                printf("* get user information/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0009:
                printf("* add friend/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x000A:
                printf("* delete friend/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x000B:
                printf("* add friend authorize/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x000D:
                printf("* change status/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0012:
                printf("* ACK : system message/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0016:
                printf("* IM send/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0017:
                printf("* IM recv/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x001C:
                printf("* delete me./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x001D:
                printf("* request key./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0021:
                printf("* ????1/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0026:
                printf("* get friends list/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0027:
                printf("* get online friends list/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0029:
                printf("* ????2/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0030:
                printf("* group command/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0031:
                printf("* test./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x003C:
                printf("* group name command./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x003D:
                printf("* group members upload command./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x003E:
                printf("* friends remark command./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0058:
                printf("* group members upload command./n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x005C:
                printf("* get level/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0080:
                printf("* system message/n");
                parse_qq_unknown(p,data_len,direction);
                break;
          case 0x0081:
                printf("* friend change status/n");
                parse_qq_unknown(p,data_len,direction);
                break;

          default:
                printf("qq cmd = 0x%04x %d bytes/n",cmd,data_len);
                parse_qq_unknown(p,data_len,direction);
                break;
    }

    return ;
}

void parse_qq_unknown(unsigned char *buff,int len,int direction)
{

    int i = 0;

    if(!buff||len == 0)
          return;

    printf("dump data direction = %s:/n",direction?"s -> c":"c -> s");
    for(i=0;i           printf("%02X ",buff);
          if(i&&(i%16 == 0))
                printf("/n");
    }
    printf("/n");
    return ;
}

void parse_qq_login(unsigned char*buff,int len,int direction)
{
    uint32_t id = 0;
    unsigned char tea_key[16];
    unsigned char*p = NULL;
    unsigned char x[1];
    unsigned char data[65535];
    int len2 = 0;
    int e = -1;

    bzero(data,sizeof(data));

    if(len%4){
          return;
    }

    p = buff;

    if(direction == 0){
          //client to server
          printf(" login request data./n");
          // 4 bytes qq id
          id = ntohl(*((uint32_t*)&p[0]));
          printf(" id = /"%d/"/n",id);
          // 16 bytes TEA key
          bcopy(&p[4],tea_key,16);
          x[0] = p[20];
          printf(" TEA key %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x %02x/n",tea_key[0],tea_key[1],tea_key[2],tea_key[3],tea_key[4],tea_key[5],tea_key[6],tea_key[7],tea_key[8],tea_key[9],tea_key[10],tea_key[11],tea_key[12],tea_key[13],tea_key[14],tea_key[15]);
          len2 = len - 4 - 16;

    }
    else
    {
          printf(" login respond data./n");

    }

    return ;

}

void parse_packet_arp(unsigned char*buff,int len)
{
    struct ether_arp *arp = (struct ether_arp *)buff;

#if 0
    printf("arp packet - time = %u/n",time(0));
    printf("hardware type : %d/n", ntohs(arp->arp_hrd));
    printf("protocol type : %02X-%02X/n", ((unsigned char*)&arp->arp_pro)[0],((unsigned char*)&arp->arp_pro)[1]);
    printf("hardware address length : %d/n", arp->arp_hln);
    printf("protocol address length : %d/n", arp->arp_pln);
    printf("operation code : %d/n", ntohs(arp->arp_op));
    printf("request hardware address : %02X:%02X:%02X:%02X:%02X:%02X/n",HWADDR(arp->arp_sha));
    printf("request ip     address : %d.%d.%d.%d", NIPQUAD(arp->arp_spa));
    printf("target hardware address : %02X:%02X:%02X:%02X:%02X:%02X/n",HWADDR(arp->arp_tha));
    printf("target ip     address : %d.%d.%d.%d/n",NIPQUAD(arp->arp_tpa));
#endif
    return;
}

void parse_packet(unsigned char*buff,int len)
{

    struct ethhdr *eth = (struct ethhdr *)buff;

#if 0
    /*DEBUG only*/
    printf("MAC header/n");
    printf("destination : %02X:%02X:%02X:%02X:%02X:%02X/n",HWADDR(eth->h_dest));
    printf("source     : %02X:%02X:%02X:%02X:%02X:%02X/n",HWADDR(eth->h_source));
    printf("protocol   : %02X-%02X/n",((unsigned char*)e->h_proto)[0],((unsigned char*)e->h_proto)[1]);
#endif
    switch(ntohs(eth->h_proto)){
          case ETH_P_IP:
                /*QQ data in it.*/
                //printf("ip protocol./n");
                parse_packet_ip(&buff[sizeof(struct ethhdr)],len - sizeof(struct ethhdr));
                break;
          case ETH_P_ARP:
                /*ARP request.*/
                //printf("arp protocol./n");
                parse_packet_arp(&buff[sizeof(struct ethhdr)],len - sizeof(struct ethhdr));                 break;
          default:
                //printf("unknow protocol./n");
                return;
    }

    return;
}

int main(int argc,char**argv)
{

    char ch = 0;
    int e = -1;
    int len = 0;
    char ifdev[256];
    struct ifreq ifr;

    if(argc!=2){
          usage();
          exit(-1);
    }

    if(getuid()!=0){
          fprintf(stderr,"only root can open SOCK_PACKET - frame type 0x800/n");
          exit(-1);
    }
    signal(SIGINT,sniffer_exit);
    signal(SIGTERM,sniffer_exit);
    signal(SIGCHLD,SIG_IGN);

    bzero(ifdev,sizeof(ifdev));

    bcopy(argv[1],ifdev,strlen(argv[1]));

    //only monitor local ethernet work
    //sniffer_fd = socket(PF_PACKET,SOCK_RAW,htons(ETH_P_ALL));

    /*set NIC to promisc mode.*/
    sniffer_fd = socket(AF_INET, SOCK_PACKET, htons(0x800));

    if(sniffer_fd<0){
          fprintf(stderr,"failed to create socket - PF_PACKET %0x/n",0x800);
          return -EFAULT;
    }

    bzero(&ifr,sizeof(ifr));

    sprintf(ifr.ifr_name,ifdev);

#if 1
    e = ioctl(sniffer_fd, SIOCGIFFLAGS, &ifr);

    if(e){
          fprintf(stderr,"failed to ioctl - SIOCGIFFLAGS - /"%s/"/n",ifdev);
          close(sniffer_fd);
          return -EFAULT;
    }

    ifr.ifr_flags |= IFF_PROMISC;
    e = ioctl(sniffer_fd, SIOCSIFFLAGS, &ifr);

    if(e){
          fprintf(stderr,"failed to ioctl - SIOCGIFFLAGS - /"%s/" - IFF_PROMISC/n",ifdev);
          close(sniffer_fd);
          return -EFAULT;
    }
#endif

    printf("oicq packet sniffer is starting .../n");

    while(1){

          bzero(buff,BUFFER_SIZE);

          //len = recv(sniffer_fd,buff,BUFFER_SIZE,0);
          len = read(sniffer_fd,buff,BUFFER_SIZE);

          if(len<=0){
                continue;
          }
          //printf("==>> %d bytes recevied./n",len);

          parse_packet(buff,len);

    }

    /*maybe never run to here. but make gcc happy.*/
    close(sniffer_fd);
    return 0;
} 
androidqq-sniffer:android qq协议嗅探工具
05-23
AndroidQQ Sniffer 基于 开发的一个协议嗅探工具,精准识别安卓QQ协议数据包,提升协议分析工作效率。 使用 运行环境 一台 Win10 操作系统的计算机 编译环境 使用截图
最新分析QQ登陆协议
04-30
最新分析QQ登陆协议协议免费开源,Demo是Delphi 其它语言可以借鉴
一个更加好用的QQ协议分析工具QQCrypter
03-02
一个更加好用的QQ协议分析工具QQCrypter
AndroidQQ Sniffer:安卓QQ协议嗅探工具
gitblog_06719的博客
05-04 385
AndroidQQ Sniffer:安卓QQ协议嗅探工具 【下载地址】AndroidQQSniffer安卓QQ协议嗅探工具 AndroidQQ Sniffer 是一款专为安卓QQ协议数据包嗅探而设计的工具,帮助网络协议研究人员和开发者高效分析数据包。它精准识别协议数据,操作简单,无需复杂配置,大幅提升工作效率。适用于Wi...
AndroidQQSniffer:安卓QQ协议嗅探工具,网络协议研究的得力助手
gitblog_06758的博客
05-25 414
AndroidQQSniffer:安卓QQ协议嗅探工具,网络协议研究的得力助手 【下载地址】AndroidQQSniffer安卓QQ协议嗅探工具 AndroidQQ Sniffer 是一款专为安卓QQ协议数据包嗅探而设计的工具,帮助网络协议研究人员和开发者高效分析数据包。它精准识别协议数据,操作简单,无需复杂配置,大幅提...
QQSnifferQQ嗅探器,QQ局域网嗅探
01-11
QQSniffer QQ嗅探器 QQ局域网嗅探 局域网嗅探QQ号 实现局域网嗅探QQ号 此嗅探器只能在支技RAW SOCKET的机器上运行,而且还得是非交换机的局域网内,可以嗅到整个局域网内的QQ号。 代码原创:cooldiyer。
精选资源
SpaceSniffer(磁盘空间分析工具).rar
04-10
SpaceSniffer是一款可视化磁盘空间分析工具,能够帮助用户更直观的显示你的磁盘文件,以区块、数字和颜色来显示硬盘上文件夹、文件大小,让你清楚的了解你的内存都用到了什么地方,支持通过滤器过滤出要找的文件,...
精选资源
ChameleonMini:ChameleonMini是一款兼容NFC的多功能非接触式智能卡模拟器。 ChameleonMini由https:kasper-oswald.de开发。 该设备位于https://shop.kasper.it。 有关更多信息,请参阅入门页面https://rawgit.comemsecChameleonMinimasterDocDoxygenhtml_page__getting_started.html或上方的Wiki标签。
02-04
这是ChameleonMini的官方存储库,ChameleonMini是一种用于NFC安全分析的可自由编程的便携式工具,可以模拟和克隆非接触式卡,读取RFID标签以及嗅探/记录RF数据。 得益于我们1700多个支持者,Kasper&Oswald GmbH实现...
HttpCanary — HTTP Sniffer Capture Analysis_v3.0.0_apkpure.com.apk
11-10
app抓包工具,方便分析了解请求流程,便于分析研究 app抓包工具,方便分析了解请求流程,便于分析研究
精选资源
实验1-网络嗅探实验-报告.doc
03-10
网络嗅探实验是学习网络安全与网络协议分析的重要实践,主要目的是掌握网络嗅探工具的使用,如Sniffer,通过捕获和分析FTP与HTTP数据包来理解这两种协议的明文传输特性,从而提高网络安全意识。 **实验原理** 1. *...
Oicqsniffer(抓捕对方IP和端口)
04-11
查看IP和端口的小工具,非常有用的啊。
局域网QQ助手QQSniffer-1.02.rar
09-02
软件介绍: 局域网QQ助手支持有线路由器、WIFI。支持苹果QQ,安卓QQ及电脑QQ。如果检测不到设备,可以尝试更换网卡及自定义网段。用于扫描局域网在线QQ号码,支持不同路由器与网络环境,每次最多只能同时扫描10个在线终端。显示在线终端,及终端地址,QQ号码与时间等信息。安装版本自带WinPcap工具包。
Online-password-sniffer.rar_网络截获/分析_C/C++_
08-12
例如,它们可以用来实现原始套接字(raw sockets),这允许程序发送和接收网络层的数据,而不是应用层的数据,这对于嗅探网络流量非常有用。 在 "Online password sniffer.txt" 文件中,可能包含了源代码、使用指南...
安卓腾xQ协议逆向-TLV分析 (一)
weixin_44320760的博客
07-30 3434
本文只限用于学习交流!!!用到的工具(网上都能下载到):2.小鸟嗅探3.Frida。
android wifi 抓sniffer log
weixin_42271802的博客
10-08 4708
空口 WiFi log 无线产品如蓝牙、zigbee开发过程中,由于没有直接连接,通常开发中都要用到一个dongle用于抓取空中数据包,然后分析定位网络、通讯问题。Wi-Fi开发中同样需要空中抓包,Wi-Fi用于抓包的设备不叫dongle,通常叫sniffer。   无论有线以太网还是无线Wi-Fi,在正常工作模式下,mac层只处理广播包或者发给自己的数据包,目标地址与自己mac地址不符的数据包都将会被丢弃。sniffer其实是将Wi-Fi芯片设置为混杂模式,该模式下Wi-Fi芯片将会把收到的所有数据都传到
安卓QQ协议抓包教程
热门推荐
zxc979647835的专栏
12-19 1万+
模拟器用夜神就好,安装好后,我们需要给模拟器安装一个 xposed框架 【de.robv.android.xposed.installer_v33_36570c.apk】 安装后,提示需要重启,我们重启一下。xposed就算安装成功了。接下来再安装一个hook模块【hookTools.apk】,用于抓包 安装好模块后,我们再重启一下模拟器。设置一下模块 然后我们打开抓包...
【以太网数据包】OICQ数据包(QQ
图像、视频、算法、Linux
12-21 8637
【以太网数据结构】系列文章链接 http://blog.csdn.net/u012819339/article/category/5849175OICQ数据包格式协议字段解释: 标识:固定为0x02 版本号:协议版本 命令: 命令字 解释 命令字 解释 1 log out 2 hert message 4 跟新用户信息 5 搜索用户 6
(62页PPT)微专题14 测电阻的几种特殊方法.pptx
最新发布
01-06
(62页PPT)微专题14 测电阻的几种特殊方法.pptx
网络协议分析利器:Sniffer Pro V4.70.530汉化版
NAI公司出品的Sniffer Pro软件是其中的佼佼者,它具备强大的性能和丰富的功能,能够深入分析网络传输的各种协议数据,帮助网络管理员进行故障诊断、安全审计、性能评估和网络监控等任务。 【Sniffer Pro v4.70.530...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值