网络封包及外挂制作基础

• • • •
封包结构的解释2
• • • • • • • Time To Live：封包的延续时间，在封包发送的时候赋予TTL值，如果封包在 TTL值到的时候还没被处理就会遗弃掉。 Protocol：协定编号 Header checksum：标头检验值，确保封包是否被正确无误的接收到。 SA和DA：来源地址和目的地址 Options :其他参数，包括安全处理机制，路由记录等。 Padding：补齐项目，补足Options的内容 DATA：数据
封包结构的解释1
• • • Version：版本，表示IP该封包使用的IP规格版本，一般是Version 4，数值通常 为0x4.（封包中使用的数据通常都是十六位） Internet Header Length：标头长度data前的数据长度。比如5列长度，20字节， 用十六进制表示就是0x14. Type of Service：服务类型，八位二进制代码表示要求的服务类型。前三个分 别表示延迟要求（0为正常值，1为低要求）、通讯量要求（0为正常值，1为 高要求，）、可靠性要求（0为正常值，1为高要求） Total Length：封包总长，以byte做单位来表示该封包的总长度，此数值包括 标头和数据的总长，同样是用16进位数值。 Identification：识别码，封包重组的依据。 Flags：标记，三位二进制，第一个0表示封包可以分割1表示不可以，第二个0 表示该封包是否还有封包。 Fragment Offset:分割定位，封包被切开后，由于各种原因抵达的顺序不会和 分割顺序相同，该定位记录是封包在重组时对号入座。
外挂的可行性和软件简介
• Client/server模式网络游戏，我们的信息全在服务器上面，想从服务器上修改 我们的个人用户信息，可能性为微乎其微，客户端安装在你的机器上， 玩游 戏的时候，你发出的指令，其实就是向服务器发送封包，服务器接收到封包 后进行分析，然后返回结果，结果也是以封包的形式发送到你的机器上，你 的机器接收到后就可以看到结果了。 那么外挂所修改游戏里面的数值，而是 伪造消息封包。 使用软件：WPE-网络封包编辑器，主要功能如下。 SELECT GAME选择目前在进程中您想拦截的程式，您只需双击该程式名 称即可。 TRACE追踪功能。用来追踪截取程式送收的封包。 FILTER过滤功能。用来分析所截取到的封包，并且予以修改。 SEND PACKET送出封包功能。能够让您送出假造的封包。 TRAINER MAKER制作修改器。
•
简单的加密方式
• 异或运算加密。
这个是一个非常简单的异或运算，经过加密以后，我们看到的是 a,b,c ,d ,e ,f但是，他的实际意思不是这样的，实际意思是，1，2，3，4， 5，6，当我们看到的是1时，他的实际意思就是6，当然，这个异或运算 是比较简单的，但是在映射的时候没有按照一定规律影射
ຫໍສະໝຸດ Baidu
TCP/IP通信协议1
• • TCP/IP协议简介： TCP(transport control protocol)中文意思就是：传输控制协议。 大家都知道，现在的电脑具有非常多的型号，生产电脑的厂家很多，他们的 电脑在各种技术上都不完全相同，甚至都有一套自己的标准和控制方法，电 脑进入互联网后，文件传输是必不可少的事件。那么，如何在各种不同标准 的电脑之间传输文件呢？这就需要一套大家共同遵守的标准，这个标准就是 TCP协议， TCP协议工作原理 首先是封包。需要传输大家的内容打包，包的大小有其自己处理方法，这个 我们不用担心，我们最关心的，就是这个包是什么东西，这个包，就是封包， 一定在很多地方听说过封包，以为是什么神秘莫测的东西，实际上，Intelnet 上的电脑每天都在处理封包，TCP协议就是将这些包一个一个地编上号，然后 按照一定的次序向通过IP协议已经建立了连接的另一台电脑把封包发送过去， 另一台电脑收到这些有编号的封包后，按照编号把封包组装起来，就得到了 需要的文件了！这里大家看到了，TCP协议和IP协议是不同的协议，但是他们 协同工作，所以大多数场合下，直接称为TCP/IP协议。 顺便讲一下UDP协议，如果在游戏修改中遇到了，也许能用上，UDP（用户数 据报协议）是非连接服务，不能保证信息以某种特定的方式到达，事实上，
•
TCP/IP通信协议2
数据可能丢失、被复制、甚至到达序列外的地方，但是它有自己独特的一面， 通常用于一些流技术，例如：经由Internet的视频与音频，通过UDP协议传送 到计算机中，通过重新编排而用于播放视频或音频。在外挂控制视频或音频 方面可以用到！ 通过前面的减少，我们已经知道，TCP协议和IP协议不是相同的协议，IP协议 是属于网络层的协议，负责网络连接，主要是寻找地址用，建立连接使用， 我们完全可以不管，我们最关心的是TCP协议！
十六进制和转换
• 16进制和10进制是不同的，进制是人们规定的的，不是一种自然现象，我们 只用0-9表示所有数字，那么大于九的怎么表示呢？我们就规定大于9的就进 位，高一位的总是比低一就是10进制。这个的网络封包不是10进制，而是16 进制，与10进制不同，16进制可以用一个符号表示10，是什么呢？就是A，用 B表示11，C表示12，一直到用F表示15，那么怎么将16进制转换为我们熟悉的 十进制呢？
关于封包
• • 封包的概念：数据必须要在通讯系统中先经过某些处理，才能在网络当中传递，例如 将数据切割为数个区块之后，才能在网络上依照某种通讯协议来传送，这种过程就好 像将包裹打包一样，称为分封。而被打包的数据就称之为封包。 封包的结构：
•
Version (4) Internet Header Length (4) Type of Service (8) Total Length (16) Identification (16) Flags (3) Fragment Offset (13) Time To Live (8) Protocol (8) Header checksum (16) Source Address (32) Destination Address (32) Options (Variable) Padding (0-24) Data
从游戏外挂谈网络通信
什么是外挂
• 广义：外挂是指某些人利用自己的电脑技 术专门针对一个或多个网络游戏，通过改 变网络游戏软件的部分程序，制作而成的 作弊程序
• 狭义：通过修改游戏数据破坏游戏平衡从 而谋取利益的的第三方软件
外挂的原理
• 外挂一般是指在电脑运行中，一个程序通过某种事件触发而得以挂接 到另外一个程序的空间里（常用的触 发事件有键盘触发，鼠标触发， 消息触发等），挂接的目的通常是想改变被挂接程序的运行方式。现 在的 游戏外挂就是将外挂程序嫁接到游戏程序当中，通过截取并修改 游戏发送到游戏服务器的数据而实现各种 功能的增强。Internet客户/ 服务器模式的通讯一般采用TCP/IP通信协议， 数据交换是通过IP数据 包的传输来实现的，一般来说我们客户端向服务器发出某些请求，比 如移动、战斗等，指令都是通过封包的形式和服务器交换数据。那么 我们 把本地发出消息称为SEND，意思就是发送数据务器收到我们 SEND的消息后，会按照既定的程序把有关的信息反馈给客户端，比如， 移动的坐标，战斗的 类型。那么我们把客户端收到服务器发来的有关 消息称为RECV。知道了这个道理，接下来我们要做的工作就是分析客 户端和服务器之间往来的数据（也就是封 包），这样我们就可以提取 到对我们有用的数据进行修改，然后模拟服务器发给客户端，或者模 拟客户端发送给服务器，这样就可以实现我们修改游戏的目的