有知道的大牛吗如何着手分析和解决呀说下思路

都一天了，有路过的大牛指点下啊。谢谢了 汗。。。。

1.这个是正常包，可以上线。

来源地址:127.0.0.1:2493
目标地址:127.0.0.1:9828
数据包大小:128
HEX数据:
45 4D 53 47 30 30 31 32 6C 00 00 00 00 00 00 00 6C 00 00 00 3C 4D 73 67 30 30 31 32 3E 38 37 3C 2F 4D 73 67 30 30 31 32 3E 31 32 31 38 24 66 25 77 68 24 31 32 37 2E 30 2E 30 2E 31 7C 50 43 32 30 31 32 31 32 32 33 31 36 4C 55 44 7C 31 3C 66 77 68 3E CE D2 B5 C4 B6 AB B6 AB 0D 0A 7C 38 30 30 7C 36 30 30 7C 31 31 2E 32 7C 30 7C 31 7C 33 43 42 33 33 39 37 45 41 38 7C 31 36 39 7C 7C 30
ASCII数据:
EMSG0012l.......l...<Msg0012>87</Msg0012>1218$f%wh$127.0.0.1|PC2012122316LUD|1<fwh>..........|800|600|11.2|0|1|3CB3397EA8|169||0

2.这个是不正常包。无法连接上。

来源地址:127.0.0.1:2537
目标地址:127.0.0.1:9828
数据包大小:52
HEX数据:
45 4D 53 47 30 30 31 31 20 00 00 00 00 00 00 00 20 00 00 00 3C 4D 73 67 30 30 31 31 3E 31 31 3C 2F 4D 73 67 30 30 31 31 3E 31 39 31 30 24 66 25 77 68 24 31
ASCII数据:
EMSG0011............<Msg0011>11</Msg0011>1910$f%wh$1

求大牛们指点下思路。谢谢了

有人吗解决不了啊，收到的包不完整，请大牛出招啊

认真分析 认真抓包 不要放过每一个包 不要放过每一个字节
另外, 每一个事件也要认真的分析 - 你不是说会滴的一声下线嘛?

hook playsounda, 后查看调用堆栈,
在分析是如何判断下线的
另外, 下线就证明已经上过线了

另外如果你只是要无需密码登陆patch的话(不是封包模拟整个客户端)
我可以告诉你一个简单的方法

用res编辑器吧用户名和密码都设置进去
然后在软件启动的时候加一个asm代码比如 sendmessage按下登陆键

搞定, 手工

看数据，感觉像是gh0st衍生的作品.
对比下通讯协议卡在哪步了.先别着急debug

从抓包看 应该是漏过了一下报文交互之类的东西。初步判断卡在了服务端验证这一块，先HOOK住所有发送和接收的包入手分析。

先把协议头去掉：），我自制的玩具能动态分析

晚上我上传各位分析下，看有好的办法没

软件在附件。里面有详细说明，请各位大牛赐招，谢谢。关键是上线问题。

附件两个包：主控端和被控端。

上传的附件：

• 公司远程管理.zip （2.72MB，7次下载）
• 公司远程管理2.zip （881.69kb，3次下载）

服务端和主控端交互下哪个断点比较好呢

本地的包啊！

有什么办法吗