这是QQhacker的问题么

casper

晚上试了试协议分析，操作如下，登录QQ开始抓包，鼠标在我自己的头像上停留，出现浮动资料框，然后在一个在线好友上停留，同样出现浮动资料框，停止抓包，开始分析，前面没有什么问题，除了几个未知的命令以外，最后抓到的几个包是下面的格式：
[code:1]
0000   00 10 5c db e1 e7 00 0c 76 78 4f 07 08 00 45 00  ..\.....vxO...E.
0010   00 64 00 ce 00 00 80 11 76 ec c0 a8 00 8f db 85  .d......v.......
0020   26 12 17 75 1f 41 00 50 05 c9 02 01 19 aa 00 00  &..u.A.P........
0030   00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0040   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050   00 00 01 00 00 0d 05 00 00 00 00 00 00 00 00 00  ................
0060   00 10 01 f0 dc 46 00 00 00 00 ff ff ff ff 00 00  .....F..........
0070   00 00                                           ..
[/code:1]
可以看到发送的命令是0xaa00，而QQhacker好像就不能给出正确的信息了，命令号和客户端QQ号都不对，它给出的信息如下：
[code:1]
注意: 忽略了 11(UDP) or 13(TCP) 个头部字节，以及尾部一个字节
客户端版本号:0x119
发出的命令号:0xffffffffffffaa00
数据包序列号:0x 0
客户端QQ号:16777216
包体长度: 0 字节
--------
无数据内容
[/code:1]
这个是QQhacker的问题么？

yunfan

我在文档里说明了， 我们目前只是分析腾讯传统的UDP包，
所谓传统就是指，包体以 0x02 开始， 以0x03结束的包。

[quote:78a18fedf8="casper"]
0000   00 10 5c db e1 e7 00 0c 76 78 4f 07 08 00 45 00  ..\.....vxO...E.
0010   00 64 00 ce 00 00 80 11 76 ec c0 a8 00 8f db 85  .d......v.......
0020   26 12 17 75 1f 41 00 50 05 c9 02 01 19 aa 00 00  &..u.A.P........
0030   00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0040   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
0050   00 00 01 00 00 0d 05 00 00 00 00 00 00 00 00 00  ................
0060   00 10 01 f0 dc 46 00 00 00 00 ff ff ff ff 00 00  .....F..........
0070   00 00
[/quote]

可以看到，上面的包 是以 0x02开始， 但是不是以0x03结束的。
这是一个非腾讯传统UDP通讯包。 其作用还有待分析。
这些非传统通讯包，看内容，应该是不加密的。

你可以看到0x0d05的版本信息，你的QQ号，以及一个ff的字串。 目前先不要理会这类包。QQHacker对
这类包的分析是错误的。 只有原始包内容可以参考，解密后的内容不要理会。


一般而言，如果出现“无数据内容”提示，则表示解密失败。

casper

了解

yunfan

刚刚研究了一下自定义头像的问题，嘿嘿。
发现了点东西。 这个协议是不加密的明文协议。 通过对
服务器cface_tms.qq.com 的 6001 和 6002 端口通讯来获得的。

我发现了传输的数据文件， 我用16进制编辑器打开好友的自定义头像文件，
嘿嘿， 传的内容一摸一样。 只是腾讯是分块来传输的，大概一块 是 0x0320
个字节。

大家有谁用自定义头像的，说一下，是否只能用bmp图片。 因为我看到
下载下来的都是bmp图片。

这个自定义头像，新版Eva可能不能完成不支持，毕竟群是我们这个版本的目标。
早上分析了2005的个别群协议。 发现对群资料的返回格式发生了变化。
并且发现了2个未知群命令，可能是更新群内讨论组内容(列表)什么的。

希望新版的Eva可以支持一个功能基本完全的群。所以请大家等待。

另外，要说一下， 对于喜欢挂机升级的朋友，Eva 0.2.1 目前已经不能挂取时间了，
因为腾讯最近取消了2004以前版本的登录时长记录功能。 近期会放出一个
开发版本， 可以挂机，也可以看自己和好友的等级，支持固定群的获取，成员获取，
固定群基本文本聊天支持。 过几天放出来吧。

casper

厉害啊，云帆，我还不太会分析，觉得，浩瀚如大海的包里面，去寻找几个字节的变化，和捞针插不多

yunfan

你先对照QQHacker的帮助提示， 看看。
慢慢熟悉。 我会再写一点分析的例子。

yunfan

或者，你哪里看不明白， 你把数据贴出来问， 我来回答，这样可能好一点。

atong

自定义头像没有 bmp 的限制，我就是用 jpg 的，呵呵。
群的协议是否可以参照 LumaQQ 的代码？

yunfan

LumaQQ 的 注释，我们是参照了， 但是2005个别地方和2004协议不同。 现在看来LumaQQ的群协议还是没有分析完全。 可能是有些命令实在不好破解吧。我们争取支持的完全一些。

yunfan

[quote:7e1da577dd="atong"]自定义头像没有 bmp 的限制，我就是用 jpg 的，呵呵。
群的协议是否可以参照 LumaQQ 的代码？[/quote]

我是说你看一下 你windows下的QQ安装目录里, 你自己QQ号目录里的UserHead
目录中，是否都是bmp图象？

atong

那个倒都是 bmp 的，呵呵。