在同一子网下，利用wireshark进行的QQ数据分析

该实验目的是使用wireshark对新版QQ进行抓包，对QQ的数据流进行分析，对指定文件进行复现。和老版本的QQ相比，新版本的QQ传输的安全性更高，因为它采用了更多的TCP加密协议。这也直接导致新版QQ的验证程序更加繁琐，传输速度有所下降。

所以，在wireshark中使用传统的“IOCQ”过滤指令已经找不到数据包

但我们仍然可以通过确定传输两端的IP来查找数据包

首先将手机和电脑连接在同一局域网下，在电脑（命令行使用ipconfig）和手机上分别查看IP地址（此处本人图片仅做举例，以个人手机品牌为实）

因为我们是在手机向电脑发送文件，所以我们要在过滤器中输入

ip.src==手机的IP

而目的IP是我们的电脑。

这里我们就可以向电脑发送图片（jpg）

直接使用查找功能十六进制查找jpg的文件头：FF D8 FF E1

找到之后右键追踪数据流，以原始数据保存为JPG文件

再使用16进制的编辑器打开刚刚保存的“图片”

删去头部的无关字节后保存

复现成功

今日日鞠