eleven_1的专栏

分析QQ协议的利器，相当的不错。。大家可以试试。。。

QQAnalyzer是一款用于辅助分析QQ协议的软件（目前自动分析模块还不是很稳定，还有些BUG，手动一个个通过密钥来解密数据包分析的话没多大问题），集成了抓包功能，能抓取并自动识别QQ数据包，扔掉无用的数据包。软件提供友好的操作界面和丰富的右键操作菜单，对抓取的QQ数据包进行分析 只需指指点点即可完成。 1) QQAnalyzer提供抓包功能，能根据设置的过滤方式过滤数据包。 2) QQAnalyzer支持PCAP、RTF、TXT格式文件读取，可以方便的能读取WireShark等抓包软件抓取的数据包，并根据数据包进行会话分类。 3) QQAnalyzer支持将抓取的数据包保存为RTF和TXT格式。 4) QQAnalyzer还提供QQ协议分析中常用的以下功能：  TEA加解密  MD5计算  将十六进制数据以UTF8，GD2312，ASCII编码  将文本以UTF8，GD2312，ASCII编码  十六进制数转QQ号码、转IP地址、转时间格式  QQ号码、IP地址、转时间格式转十六进制数

1、监视器程序是一个可视化的GUI程序，刚运行时提供输入框让用户输入需要监视的电信设备的IP地址和端口号，然后与电信设备服务器建立socket连接。比如用户输入的IP地址为：192.192.192.1，端口号为8000，用户点击“连接”按钮即可与电信设备服务器建立连接。 2、监视器程序仅仅从socket连接中读取电信设备服务器发来的数据，这些数据是一串连续的ASCII码流。监视程序每次从socket中接收到数据后在数据前面加上时间信息，然后在GUI界面中显示。比如从服务器接收到的报文为“Ncp Send Message To Mcu: nMcuAdrs=0x10301 CmdCode = 0x11ab,lParamLen = 0x12.”，那么在GUI界面中的显示则如下： [10/05/19 03:30:17] Ncp Send Message To Mcu: nMcuAdrs=0x10301 CmdCode = 0x11ab,lParamLen = 0x12. 其中[]里面的是显示接收到的PC机本地时间，其余ASCII字符为报文的内容。 监视器程序只管从socket中接收报文，无须通过socket发送报文。 3、当报文内容很多时为了方便用户选择查看有意义的报文，可以对报文进行过滤。支持用户输入需要过滤的字符的关键字。比如输入要过滤的关键字为“nMcuAdrs=0x10301”，那么对于nMcuAdrs=0x10301的报文则不显示，仅显示满足关键字过滤规则的报文。当需要有多个要过滤的关键字时，需要支持一下的规则： （1）与 key1 and key2, 表示既要满足关键字key1也要满足关键字key2 （2）或 key1 or key2, 表示只要满足key1或者kye2任一即可 （3）支持与和或的组合，与的优先级高于或。比如 key1 and key2 or key3，表示只要满足key1、key2，或者key3即可 （4）括号的优先级高于and。比如 key1 and （key2 or key3），表示满足key1并且满足key2、key3中任一即可。 每一个关键字都用双引号括起来，比如输入过滤的字符为“nMcuAdrs=0x10301” and “CmdCode = 0x11ab” ，表示既要满足nMcuAdrs=0x10301也要满足CmdCode = 0x11ab 4、支持监视器收到的所有报文保存到文件中，需要支持用户设置文件所能保存的最大报文数目。比如用户设置最大可以保存100条报文，当超过100报文时新接收到的报文可以覆盖时间最长的报文。

Wireshak中文手册,chm格式的。喜欢的快下。