qq msgexdb分析 及qq的安全问题

《qq msgexdb分析 及qq的安全问题》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、qqMsgEx.db分析最近花了几天时间跟踪了一下“QQ聊天记录查看器5.3华军版”，总算把聊天记录的存储方法弄清了。大家不要笑我，只是好奇而已，呵呵。1.聊天记录存储方式QQ聊天记录保存在MsgEx.db文件中。以前很早的版本是保存在Msg.db中，文件结构也与现在不同，我们就不分析了。MsgEx.db采用Storage结构化存储。关于Storage复合文档的知识请查阅Microsoft相关文档，我们不做赘述。大家可以用VC自带的DocFileView工具查看该文件的内容，可以看到文件结构大致如下：

2、----MsgEx.db

3、

4、----Index.msj

5、

6、----M

7、atrix.db

8、

9、----Index.msj

10、

11、----C2CMsg

12、

13、----IMInfo

14、

15、----SysMsg

16、

17、----DiscMsg

18、

19、----QQ号码

20、

21、----info.dat

22、

23、----10000

24、

25、----GroupMsg

26、

27、----Data.msj

28、

29、----Matrix

30、

31、----Data.msj

32、

33、----MobileMsg

34、---------TempSessionMsg消息内容都存储在每个号码下面的Data.msj中，通过Index.msj索引。消息内容是经过加密处理的，必须经过解密才能看到。2.解密方法消息内容采用BlowFish分组加密。

35、每8个字节为一个分组。密钥Key通过QQ号码生成，具体算法稍后讨论。解密方法：a.取前8个字节，通过BlowFish解密，得到decryptKey；b.decryptKey与后面8个字节XOR，对结果再进行一次BlowFish解密；c.将decryptKey与前8个字节XOR，得到第一组结果；d.decryptKey与后面8个字节XOR，重复b,c两步；e.最终全部数据解密完毕。最后会剩下一组8字节无法解密，这个实际上是冗余数据，似乎是用来作为校验。3.具体步骤以上解密时，BlowFish的密钥是一个全局公用密钥Key。Key要通过QQ号码生成，具体步骤是：a.将QQ号

36、码进行MD5变换，得到Md5Keyb.取Matrix.db的数据，对其进行解码。简单说一下Matrix.db文件的结构：Matrix.db采用分块存储，每个Record包含类型、名字长度、名字、内容长度、内容几个字段组成。用数据结构表示就是：structRecord{charrType;shortnLen;charName[nLen];intrLen;charContent[rLen];};初始内容也是通过加密存储的。解密方法很简单：将长度的低位字节和高位字节XOR，得到key；将内容逐个与key进行XOR，就得到结果。对名字和内容分别进行解密即可。解密后会看到STL,

37、TIP,CRK,CPH,CAH等字段，不清楚具体的啥含义，感兴趣的同学可以自己去研究研究。我们要用到的是CRK字段，长度为32字节（如果本地聊天记录加密，可能会有变化，没试过）。将得到的CRK字段作为pData。c.用Md5Key对pData进行BlowFish解密，得到全局密钥Key4.结论以上讨论的都是本地聊天记录没有加密的情况。如果选择了加密，没有密码是肯定解不出来滴，大伙就不用费心了。QQ的安全问题QQ，就是OICQ，TENCENT公司研发的即时信息软件，是中国市场上国产IM软件绝对的老大。中国网民几乎人手至少一个QQ号码。大家都比我清楚，不多介绍。本文谈谈QQ

38、的安全问题。QQ具有如此惊人的人气，却有着与之不相称的安全问题。基本上可以说，使用QQ，基本没有任何隐私可言！另外它也为你的电脑带来了诸多附送的安全隐患。有识之士如我都早已不用QQ啦。一，本地密码保存方式QQ的客户端会不经用户同意，把用户的密码经过数万次的MD5运算后存在本地。每次登陆在发送网络数据包之前进行本地验证，相信熟悉QQ的朋友对这一点都不陌生。这样事实上给了攻击者暴力破解QQ密码的机会，只要攻击者得到本地保存的这个数据即可。这个文件曾经叫ewh.db或者user.db，不知道现在是否又变了。说明一点，由于MD5作了数万次，这样的破解效率不高，但再低的效率也有弱

39、智密码中招，当年在线尝试登陆都可以，还有什么不可能呢？如果选择了自动登陆，那么密码的一次MD5保存在oicq2000.cfg中，破解速度大大提高。二，本地聊天记录查看漏洞典型的攻击场景是：已经拿到全部本地记录，就是一个以QQ号为名的文件夹，不知道密码（或者俗称忘记了密码，求助者多数号称是mm）如何查看其聊天记录？QQ登陆的流程是这样的：1.输入用户名密码->2.本地验证通过->3.得到用户界面（企鹅开始闪动）->4.发送登陆包->5.收到登陆包成功响应->6.登陆成功。其中在步骤3的时候，我们就可以查看聊天记