外挂编写基础
封包的截取
如何截获一个游戏的封包?如何去检查游戏服务器的ip地址和端口号? Internet用户使用的各种信息服务,其通讯的信息最终均可以归结为以IP包为单位的信息传送,IP包除了包括要传送的数据信息外,还包含有信息要发送到的目的IP地址、信息发送的源IP地址、以及一些相关的控制信息。当一台路由器收到一个IP数据包时,它将根据数据包中的目的IP地址项查找路由表,根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到此数据包后继续转发,直至发到目的地。路由器之间可以通过路由协议来进行路由信息的交换,从而更新路由表。 我们所关心的内容只是IP包中的数据信息,可以使用许多监听网络的工具来截获客户端与服务器之间的交换数据,如其中的一种工具:WPE。
WPE使用方法:执行WPE会有下列几项功能可选择:
SELECT GAME选择目前在记忆体中您想拦截的程式,您只需双击该程式名称即可。 TRACE追踪功能。用来追踪撷取程式送收的封包。WPE必须先完成点选欲追踪的程式名称,才可以使用此项目。 按下Play键开始撷取程式收送的封包。您可以随时按下 | | 暂停追踪,想继续时请再按下 | | 。按下正方形可以停止撷取封包并且显示所有已撷取封包内容。若您没按下正方形停止键,追踪的动作将依照OPTION里的设定值自动停止。如果您没有撷取到资料,试试将OPTION里调整为Winsock Version 2。WPE 及 Trainers 是设定在显示至少16 bits 颜色下才可执行。
FILTER过滤功能。用来分析所撷取到的封包,并且予以修改。
SEND PACKET送出封包功能。能够让您送出假造的封包。
TRAINER MAKER制作修改器。
OPTIONS设定功能。让您调整WPE的一些设定值。
FILTER的详细教学
当FILTER在启动状态时 ,ON的按钮会呈现红色。- 当您启动FILTER时,您随时可以关闭这个视窗。FILTER将会保留在原来的状态,直到您再按一次 on / off 钮。- 只有FILTER启用钮在OFF的状态下,才可以勾选Filter前的方框来编辑修改。- 当您想编辑某个Filter,只要双击该Filter的名字即可。
NORMAL MODE:
示例:
在游戏中,使用两次攻击而且击中了对方,这时会撷取到以下的封包:SEND-> 0000 08 14 21 06 01 04 SEND-> 0000 02 09 87 00 67 FF A4 AA 11 22 00 00 00 00 SEND-> 0000 03 84 11 09 11 09 SEND-> 0000 0A 09 C1 10 00 00 FF 52 44 SEND-> 0000 0A 09 C1 10 00 00 66 52 44
第一次攻击让对方减了16滴(16 = 10h)的生命值,而观察到第4跟第5个封包的位置4有10h的值出现,应该就是这里了。
观察10h前的0A 09 C1在两个封包中都没改变,可见得这3个数值是发出攻击的关键。
因此将0A 09 C1 10填在搜寻列(SEARCH),然后在修改列(MODIFY)的位置4填上FF。这样,当再次发出攻击时,FF会取代之前的10,也就是攻击力为255的攻击了。
ADVANCED MODE:
示例: 如果在一个游戏中,不想要用真实姓名,想用修改过的假名传送给对方。在使用TRACE后,会发现有些封包里面有名字出现。假设名字是Shadow,换算成16进位则是(53 68 61 64 6F 77);假如用moon(6D 6F 6F 6E 20 20)来取代。(1) SEND-> 0000 08 14 21 06 01 04(2) SEND-> 0000 01 06 99 53 68 61 64 6F 77 00 01 05 (3) SEND-> 0000 03 84 11 09 11 09(4) SEND-> 0000 0A 09 C1 10 00 53 68 61 64 6F 77 00 11 (5) SEND-> 0000 0A 09 C1 10 00 00 66 52 44
仔细看会发现名字在每个封包中并不是出现在相同的位置上
在第2个封包里,名字是出现在第4个位置上- 在第4个封包里,名字是出现在第6个位置上
此时,就需要使用ADVANCED MODE- 在搜寻些zSEARCH填上:53 68 61 64 6F 77 (从位置1开始填),想要从原来名字Shadow的第一个字母开始置换新名字,因此要选择从数值被发现的位置开始替代连续数值(from the position of the chain found)。现在,在修改列(MODIFY)000的位置填上:6D 6F 6F 6E 20 20 (此为相对应位置,也就是从原来搜寻栏的+001位置开始递换),如果想从封包的第一个位置就修改数值,选择(from the beginning of the packet)
互联网是将信息数据打包之后再传送出去的。每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。数据信息包括我们在游戏中相关操作的各项信息。那么在做截获封包的过程之前先要知道游戏服务器的IP地址和端口号等各种信息,最简单的是看看游戏目录下,是否有一个SERVER.INI的配置文件,这个文件里可以查看到个游戏服务器的IP地址,除了这个方法还可以在DOS下使用NETSTAT这个命令
NETSTAT命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。或者可以使用木马客星等工具来查看网络连接。
NETSTAT命令的一般格式为:NETSTAT [选项]
命令中各选项的含义如下:-a 显示所有socket,包括正在监听的。-c 每隔1秒就重新显示一遍,直到用户中断它。-i 显示所有网络接口的信息。-n 以网络IP地址代替名称,显示出网络连接情形。-r 显示核心路由表,格式同"route -e"。-t 显示TCP协议的连接情况。-u 显示UDP协议的连接情况。-v 显示正在进行的工作。
分析截取的封包
首先将WPE截获的封包保存为文本文件,然后打开它,这时会看到如下的数据(以打怪为例)
第一个文件:SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1BSEND-> 0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9BSEND-> 0000 E6 56 1E F1 29 06 17 12 3B 0E 17 1ASEND-> 0000 E6 56 1B C0 68 12 12 12 5ASEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 17 10 35 27 13 12 12SEND-> 0000 E6 56 17 C9 12
第二个文件:SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7ESEND-> 0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6DSEND-> 0000 83 33 7B 94 4C 63 72 77 5E 6B 72 F3SEND-> 0000 83 33 7E A5 21 77 77 77 3FSEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 72 75 50 42 76 77 77SEND-> 0000 83 33 72 AC 77
这两次打怪都是同一个怪,这两个封包数据格式一样,但是内容却不相同,猜想这是经过了加密运算才在网络上传输的
一般的数据包加密都是异或运算,通常情况下,数据包的数据不会全部都有值的,游戏开发时会预留一些字节空间来便于日后的扩充,也就是说数据包里会存在一些"00"的字节,观察上面的文件,我们会发现文件一里很多"12",文件二里很多"77",猜测这就是"00"。
把文件一与"12"异或,文件二与"77"异或,用"M2M 1.0 加密封包分析工具"来计算得到下面的结果:
第一个文件:1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 892 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 083 SEND-> 0000 F4 44 09 D2 7A 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00
第二个文件:1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A2 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 1C 05 843 SEND-> 0000 F4 44 09 D2 56 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 B8 6C 79 F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00
两个文件大部分都一样,证明猜想正确
接下来就是搞清楚一些关键的字节所代表的含义,这就需要截获大量的数据来分析。
