一种监控QQ发送文件数据的方法与流程

本发明涉及信息安全技术领域，特别涉及一种监控QQ发送文件数据的方法。

背景技术：

随着科技的发展，人们对网络的依赖也越来越大，网络泄密问题也随之显现出来，各大公司：各种部门也不得不对职员的网络使用情况进行管控，防止职员泄露一些机密信息。

目前市面上也有很多的网络管控工具，大多数都是对电脑进行管控，且需在电脑上安装客户端，由客户端收集数据发送到监控端实现监控。这种方式就必然会有很多问题：1：客户端需要在每台待监控的设备中安装，操作过于繁琐；2：客户端被卸载或禁用后就不会再起到监控作用；3：客户端安装在系统中本身受到操作系统的权限控制及杀毒软件的保护后，不利于数据的抓取4：由于客户端需要在后台运行，不断向服务器发送数据必然会使耗电量增大，显然在移动设备上是不适用的。

QQ是一个很火的社交工具，也经常充当了传输文件的工具，但是大多数的管控工具都没有对QQ文件传输数据进行监控，这也是网络管控上的一个缺口。

技术实现要素：

本发明针对现有技术的缺陷，提供了一种监控QQ发送文件数据的方法，能有效的解决上述现有技术存在的问题。

一种监控QQ发送文件数据的方法，包括以下步骤：

S1：通过网络抓包方式获取网络数据包，详细步骤如下；

S11：网络数据抓包，根据Wireshark进行数据包抓取；

S12：协议头分析，得到协议类型和端口，协议类型为TCP，端口为80或443；

S13：网络发送，详细步骤如下：

S131：建立连接,客户端向服务器申请打开443或80端口，然后服务器端发回一个ACK报文通知客户端请求报文收到，客户端收到确认报文以后再次发出确认报文确认刚才服务器端发出的确认报文，完成连接；

S132：客户端基本参数发送；当连接建立完成后，客户端会发出多个POST请求，分析该请求包得到HTTP协议信息，内容包括：发送数据的网络类型、发送数据的QQ客户端版本以及发送数据段的长度等，请求成功后服务端将会做出响应，客户端则开始发送数据头及文件数据；

S2：网络数据包解析，判断数据包内是否存在QQ发送文件数据，具体步骤如下：

S21：监听并扫描网络数据包是否存在文件属性包头部特征；偏移位值0x00的头部特征“0xABCD9876”若存在则执行S22，若不存在则继续监控；

S22：继续向下监听，如果连续发送的单个包数据大于368字节，则执行S23，若不存在则执行S21；

S23：继续向下监听，从344字节开始的4字节长度为文件数据的总长度，之后的十六个字节为其他信息数据，十六字结之后开始为文件数据段，文件数据的长度为POST信息中数据段的长度减去368，保存该段文件数据执行S24；

S24：继续向下监听，循环执行S132到S23，直到不再出现连续的POST请求，完成发送文件数据的拼接，且拼接数据的重长度等于数据头中记录的文件数据的总长度则执行S3，否则执行S21；

S3：判断文件类型并修改文件后缀名，其步骤如下：

S31：打开拼接的文件数据；

S32：判断文件头信息标识，通常不同类型的文件有不同的文件头，例如：.Jpg的文件头为0xFFD8FF；.png的文件头为0x89PNG等等，通过文件头就能确定文件类型；

S33：将确认后的文件类型的文件后缀名修改成对应文件类型的后缀名；

S4：将提取出的文件数据进行对应文件格式的处理并呈现。

与现有技术相比本发明的优点在于：能够对手机和电脑的QQ软件进行监听，有效防止和追踪因QQ发送内部机密文件带来的损失，保护企业或国家部门的信息安全。

具体实施方式

为使本发明的目的：技术方案及优点更加清楚明白，以下举实施例，对本发明做进一步详细说明。

一种监控QQ发送文件数据的方法,包括以下步骤：

S1：通过网络抓包方式获取网络数据包，详细步骤如下；

S11：网络数据抓包，根据Wireshark进行数据包抓取；

S12：协议头分析，得到协议类型和端口，协议类型为TCP，端口为80或443；

S13：网络发送，详细步骤如下：

S131：建立连接,客户端向服务器申请打开443或80端口（用SYN段等于1的TCP报文），然后服务器端发回一个ACK报文通知客户端请求报文收到，客户端收到确认报文以后再次发出确认报文确认刚才服务器端发出的确认报文，完成连接；也就是做三次握手；需要注意的是每次发送文件时都会重新建立一次连接；

S132：客户端基本参数发送；当连接建立完成后，客户端会发出多个POST请求，分析该请求包得到HTTP协议信息，内容包括：发送数据的网络类型、发送数据的QQ客户端版本以及发送数据段的长度等，请求成功后服务端将会做出响应，客户端则开始发送数据头及文件数据。

S2：网络数据包解析，判断数据包内是否存在QQ发送文件数据，具体步骤如下：

S21：监听并扫描网络数据包是否存在文件属性包头部特征；偏移位值0x00的头部特征“0xABCD9876”若存在则执行S22，若不存在则继续监控；

S22：继续向下监听，如果连续发送的单个包数据大于368字节，则执行S23，若不存在则执行S21；

S23：继续向下监听，从344字节开始的4字节长度为文件数据的总长度，之后的十六个字节为其他信息数据，十六字结之后开始为文件数据段，文件数据的长度为POST信息中数据段的长度减去368，保存该段文件数据执行S24

S24：继续向下监听，循环执行S132到S23，直到不再出现连续的POST请求，完成发送文件数据的拼接，且拼接数据的重长度等于数据头中记录的文件数据的总长度则执行S3，否则执行S21；

S3：判断文件类型并修改文件后缀名，其步骤如下：

S31：打开拼接的文件数据

S32：判断文件头信息标识，通常不同类型的文件有不同的文件头，例如：.Jpg的文件头为0xFFD8FF；.png的文件头为0x89PNG等等，通过文件头就能确定文件类型；

S33：将确认后的文件类型的文件后缀名修改成对应文件类型的后缀名；

S4：将提取出的文件数据进行对应文件格式的处理并呈现。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的实施方法，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。