用命令行自动登录QQ并不安全

背景：

    在网络上经常可以看到介绍用命令方式登录QQ的文章，据说这样不用输入密码可以防止QQ被盗，其原理如下：

命令："QQ安装路径QQ.exe" /START QQUIN:QQ号 PWDHASH:加密的密码 /STAT:登陆状态（10或40）

例：D:\Tencent\QQ.exe /START QQUIN:123456 PWDHASH:4QrcOUm6Wau+VuBX8g+IPg== /STAT:41

    以上命令经本人试验是可行的实际上QQ在与TM切换登录时系统里用的就是这个命令，该命令是唯一的难度就是获得的 PWDHASH值。

概念：PWDHASH码就是对我们的原始QQ密码进行MD5散列算法处理，得到一个16字节的MD5 HASH字符串， 然后再用BASE64编码对这个HASH字符串做第二次编码得到的。理论上说是无法从PWDHASH码反推出原始的QQ密码的。

要如何获得PWDHASH码呢？

方法一（用Longhorn版任务管理器）：
    1、登陆QQ(要选记住密码)
    2、上线后菜单-->更新好友-->此时 QQ提示 自动重新登陆……点确认……
    3、登陆完到“Longhorn版任务管理器”（一定要用Longhorn版的任务管理器。不然没有显示映像路径的功能。）里看到QQ的自动登陆参数了（qq号和加密后的密码）……有了这些参数就可以自己动手了，运行命令：

方法二（用WinHex）：
    1、先选记住密码登陆QQ
    2、然后点QQ菜单-->一键换到TM-->然后再点TM菜单-->一键换到QQ（和更新好友原理一样，就是要QQ自己登入你的QQ）
    3、登陆成功后打开WinHex，查"PWDHASH"，马上就能找到加密后的密码了

方法三（用QQPWDHASH.exe网络上可以找到）
    1、执行QQPWDHASH.exe程序
    2、输入QQ密码实时显示PWDHASH码

    另外本人用金山毒霸的进程管理也可以看到PWDHASH码不过不能复制出来，最终还是用了第三种法。

    在刚得知这个方法时兴奋的试用了一下，发现用命令行登录真的很方便只要做个快捷方式以后双击就可以了登录QQ，据说还可以做个批命令一键登录多个QQ，但我试验了不成功。因为批命令里的命令是执行完一行再执行另一行，所以只能登录第一个QQ，关掉第一个QQ才执行第二条命令登录第二个QQ，所以不管怎么样都只有一个QQ在登录。不知道是不是另有门路，反正在网络上没看到有人写出成功的例子。

    现在说到正题为什么用命令行登录不安全，大家想想既然PWDHASH码保存在内存中自然很容易搞一个软件记录下来。我试验了一下用命令登录的QQ在进程中都可以看到完整的命令。也就是可以看到QQ号码和PWDHASH码。虽然说PWDHASH码无法反推QQ密码，但是得到PWDHASH码不就等于是得到QQ密码吗？可以登录QQ，花Q币只要能在QQ上进行的服务都可以办到。所以用这种方法登录QQ是很危险的。另外用一键切换到TM然后再从TM切换到QQ也会在进程里看到完整的命令行。所以建议大家还是关闭程序再切换QQ或TM，也提醒腾讯公司注意一下这个漏洞。