以下我是抓取的QQ客户端向服务器发送的UDP包
00000000 02 11 5B 00 C6 38 A9 23 D8 07 B9 04 9A BA 69 A6 ..[..8.# ......i.
00000010 F4 AF 1E 60 BD B0 AE 56 DC FE F9 03 ...`...V ....
00000000 02 11 5B 00 C6 38 A9 D0 82 3C AD 82 7F FA 54 A9 ..[..8.. .<.. .T.
00000010 58 12 86 0B D4 89 50 51 12 69 C9 48 34 94 24 BB X.....PQ .i.H4.$.
00000020 24 15 A6 B1 79 2C FC 03
在中国协议分析网上看到了相关的解释
02 开始是payload
11 5B 是qq版本号
00 C6就是心跳信息命令代码,(这个数据是会变化的)
38 A9 是令牌号(也会变化,好像是每次加1,有待考证)
23 D8 07 B9是QQ号
由上面的包格式我们不难得到局域网中其它用户的QQ号,将网卡设为混合模式,监听所有的数据,对UDP包进行分析,若端口在4000-4007之间,我们认定为QQ数据包.可按上面格式分析出QQ号码.C++代码如下:
#include <winsock2.h>
#include "stdio.h"
#pragma comment(lib,"WS2_32")
#define SIO_RCVALL 0x98000001
//IP 头 20字节
typedef struct _IPHeader
{
UCHAR iphVerLen; //版本号和头长度
UCHAR ipTOS; //服务类型
USHORT ipLength; //封包总长度,即