[发明专利]一种监控QQ发送文件数据的方法

摘要

本发明公开了一种监控QQ发送文件数据的方法，包括以下步骤：S1：通过网络抓包方式获取网络数据包；S2：网络数据包解析，判断数据包内是否存在QQ发送文件数据；S3：判断文件类型并修改文件后缀名；S4：将提取出的文件数据进行对应文件格式的处理并呈现。本发明的有益效果如下：能够对手机QQ软件进行监听，有效防止和追踪因QQ发送内部机密文件带来的损失，保护企业或国家部门的信息安全。

主权项

一种监控QQ发送文件数据的方法，其特征在于包括以下步骤：S1：通过网络抓包方式获取网络数据包，详细步骤如下；S11：网络数据抓包，根据Wireshark进行数据包抓取；S12：协议头分析，得到协议类型和端口，协议类型为TCP，端口为80或443；S13：网络发送，详细步骤如下：S131：建立连接,客户端向服务器申请打开443或80端口，然后服务器端发回一个ACK报文通知客户端请求报文收到，客户端收到确认报文以后再次发出确认报文确认刚才服务器端发出的确认报文，完成连接；S132：客户端基本参数发送；当连接建立完成后，客户端会发出多个POST请求，分析该请求包得到HTTP协议信息，内容包括：发送数据的网络类型、发送数据的QQ客户端版本以及发送数据段的长度等，请求成功后服务端将会做出响应，客户端则开始发送数据头及文件数据；S2：网络数据包解析，判断数据包内是否存在QQ发送文件数据，具体步骤如下：S21：监听并扫描网络数据包是否存在文件属性包头部特征；偏移位值0x00的头部特征“0xABCD9876”若存在则执行S22，若不存在则继续监控；S22：继续向下监听，如果连续发送的单个包数据大于368字节，则执行S23，若不存在则执行S21；S23：继续向下监听，从344字节开始的4字节长度为文件数据的总长度，之后的十六个字节为其他信息数据，十六字结之后开始为文件数据段，文件数据的长度为POST信息中数据段的长度减去368，保存该段文件数据执行S24；S24：继续向下监听，循环执行S132到S23，直到不再出现连续的POST请求，完成发送文件数据的拼接，且拼接数据的重长度等于数据头中记录的文件数据的总长度则执行S3，否则执行S21；S3：判断文件类型并修改文件后缀名，其步骤如下：S31：打开拼接的文件数据；S32：判断文件头信息标识，通常不同类型的文件有不同的文件头，例如：.Jpg的文件头为0xFFD8FF；.png的文件头为0x89PNG等等，通过文件头就能确定文件类型；S33：将确认后的文件类型的文件后缀名修改成对应文件类型的后缀名；S4：将提取出的文件数据进行对应文件格式的处理并呈现。