注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

风雨夜归人

专业收集资料,个人爱好!

 
 
 

日志

 
 

星尘脱机分析教程~!第一部分!  

2009-05-23 17:46:43|  分类: 外挂学习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

最近无聊 研究了下星尘传说。。发现此游戏明文包 未加密!

星尘脱机分析教程~!第一部分! - 白云飘飘 - 白云飘飘的博客 既然人家公司摆明了让我门搞他 就搞吧~~

此文适合新手..会的就不用看了 基础东西!

首先打开我门用WPE来分析他...打开WPE加载星尘以后.我门开始执行登陆!

然后停在选择服务器这里

我门来看看WPE拦截到的包!

星尘脱机分析教程~!第一部分! - 白云飘飘 - 白云飘飘的博客

49 00 00 00 45 00 00 00 01 FD 02 00 00 00 00 00 8F 13 00 00 0A 00 00 00 30 32 2E 30 31 2E 30 30 31 36 07 00 00 00 78 63 64 64 64 64 64 10 00 00 00 25 F9 E7 94 32 3B 45 38 85 F5 18 1F 1B 62 4D 0B 00 00 00 00 00 00 00 00

上面就是我门登陆时候发过去的包

那么我门如何来分析这个包呢? 首先 一个数据包 它基本分3个结构.  包长+协议+实体包 .另外还可能有验证那些包等等

这里要注意我门WPE得到的都是16进制包. 所以用计算机转换成10进制

73 0 0 0 69 0 0 0 1 253 2 0 0 0 0 0 143 19 0 0 10 0 0 0 48 50 46 48 49 46 48 48 49 54 7 0 0 0 120 99 100 100 100 100 100 16 0 0 0 37 249 231 148 50 59 69 56 133 245 24 31 27 98 77 11 0 0 0 0 0 0 0 0

这里我门发现 第一字节数字是73 0 0 0  ..再看看图片里WPE的包长是不是73..那么很明显我门这里可

以确定他是包长..这里还要注意星尘他系统包大部分为4个字节为一组 所以我门看代码应该是

73 0 0 0 ,,69 0 0 0  在来分析第二组字节 这里我门发现是69.那69什么意思.?一开始我也不明白..

但发 收很多个包以后 我发现这第二组字节 都是第一个包长-4  至于他为什么-4 我也不清楚..

那么我门在看看01 FD 02 00 00 00 00 00 8F 13 00 00 0A 00 00 00  ( 现在我门用16进制来分析)这个

每次发送登陆包都是不变的所以我门不用考虑他..应该是协议之类的 如果大家实在想知道什么意思

可以转换成字符..他的都是用ascii编码的 再转会去就知道了 或者直接看WPE旁边的就有转过来的

星尘脱机分析教程~!第一部分! - 白云飘飘 - 白云飘飘的博客

我门可以看到 32 2E 30 31 2E 30 30 31 36  这里他显示的是02.01.0016 这是什么呢? 是版本号

为什么我这样讲 我门看图

星尘脱机分析教程~!第一部分! - 白云飘飘 - 白云飘飘的博客

是不是显示02.01.0016..所以我门可以分析到这前面的是系统包 这里大家要注意 如果我门分析一个游

戏 要把得到的数据跟游戏里的那些显示的东西对应.要知道我门实际就是分析他游戏里的东西.不要盲

目的只看数据包 不然你根本不知道他到底是干什么的!

包长+包长-4+协议+版本号

好 然后分析后面的!07 00 00 00  这个是什么 单独看我门看不出 把后面的一起来看

07 00 00 00 78 63 64 64 64 64 64 

还是看不出?怎么办 继续看刚才WPE右边的翻译 xcddddd 这是什么?是我的帐号. 原来这一段就是我的帐号 那07 00 00 00呢? 来数下帐号的字数 是几个? 7个  所以我门可以看到这表示的 帐号长度+帐号

大家要注意 如果看到 XX 00 00 00 这种 要把他认为是单独的一组 要分析他为什么只有一个数字 但

却占了4个字节..我门继续看后面

10 00 00 00 25 F9 E7 94 32 3B 45 38 85 F5 18 1F 1B 62 4D 0B

好长一段是不是. 这个时候我门应该潜意识的认为 他是密码。发了帐号能不发密码么?

但为什么这么长呢 我密码没这么长.这时候大家就要注意了..游戏一般密码是MD5加密的..

我的原密码是123456789 我门去试一试就知道了 看图! http://www.md5.org.cn/  MD5加密地址

星尘脱机分析教程~!第一部分! - 白云飘飘 - 白云飘飘的博客星尘脱机分析教程~!第一部分! - 白云飘飘 - 白云飘飘的博客

这里我门发现有25f9e794323b453885f5181f1b624d0b 对应上面的是不是一模一样

还需要解释么? 在来看10 00 00 00 是什么? 应该也是密码长度 但为什么是10呢?

他明明不是10位 而是16位..注意了 刚才说了他是16进制 所以10以上的都要转换! 所以数字10转十进

制就是16了了所以 对的!

那么 我门知道 只要把包长+包长-4 +帐号长度+帐号+密码长度+密码 修改以后再发过去就能完成第一个登陆功能!

另外送大家一个发包测试器! 必须装 .net 2.0 才行

  评论这张
 
阅读(331)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017