[讨论]抓了一个老游戏的封包分析有眉目了，还有点问题讨论下-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]抓了一个老游戏的封包分析有眉目了，还有点问题讨论下

发表于: 2014-9-12 16:17 13217

[讨论]抓了一个老游戏的封包分析有眉目了，还有点问题讨论下

bluestarCC 活跃值

2014-9-12 16:17

13217

18 00 E4 D6 D7 F3 6B 02 65 DD 03 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 B8 E3 03 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 92 EA 03 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 B3 F0 03 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 39 F7 04 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 1F FF 04 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 4B 06 04 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 C4 0E 04 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 1D EE 13 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 D3 74 60 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 B7 C5 63 FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 DD D3 6E FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

18 00 E4 D6 D7 F3 6B 02 C8 AD 6F FD FA FA F4 FC 94 F1 E4 FA 4B F3 D0 FD

上面的时间和数字是我注视的可以无视

就是 9 10 11位一直在变化貌似还是循环的？

经过分析貌似是一个持续时间也就是说是当游戏连接上服务器时开始计时

毫秒数但是 3个字节 24bit 最大 16777215 到了 FF FF FF 难道会归零

循环？

求助该怎么修改出正常的封包

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・2

免费・0

支持

最新回复 (19)
chaogelai 雪币： 13 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 49 粉丝 0 关注私信	chaogelai 2 楼在封包的 9 10 11 位下访问跟一下，或者做个拦截 2014-9-12 16:58 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 3 楼您是说用OD 载入游戏发包的时候跟一下？在下不才跟了也看不懂啊····· 现在就是分析出这个可能是游戏启动后就开始计时的毫秒数晚上回去打算试一下发一个包抓一下然后把时间改的比上个包的时间大发送下看能成功不如果不成也可能是要求精确的连接后计时可以从游戏客户端内存里读出来构成包再发送再不行的话我也没思路了···· 不过貌似里面还有个包的时间比后面包的时间小怎么也通过了呢。。比如 7 8 两条 2014-9-12 17:24 0
zwhahui 雪币： 1404 活跃值： (3546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	zwhahui 4 楼 C8 AD 6F FD 应该是四个字节,最可能的是时间,因为在不断增加,后面那几个难道也是时间?例如系统启动,程序启动创建啥的时间? 2014-9-14 23:18 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 5 楼 4字节时间应该是秒级的精度对于网游是不够的 2014-9-15 14:58 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 6 楼刚才换算了下四字节的话不是时间秒数只有三个字节的网上说有一个持续时间戳跟这个一样系统与服务器连接后开始毫秒计时与服务器连接时间估计到16777215毫秒后从零开始计时吧这个不好测啊即使自己构造封包也来不及造出来超过太多的话不认太少的话有可能就比现在连接持续时间小了 2014-9-15 16:05 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 7 楼为自己顶一下 2014-9-18 09:38 0
第七城市雪币： 185 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	第七城市 8 楼是发送封包的时间截！ 2014-9-18 11:33 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 9 楼嗯是呀但是奇怪的是 3个字节 24位完全不足以存储年月日时分秒对于网游来说还是这里来说这里的时间戳都是毫秒级的 3位最大值就是 16777215 毫秒也就4个多小时先不管他满了是从0 开始还是其他什么办法这个时间貌似是一个客户端连接上服务器后开始计时的毫秒级时长不知道怎么能获得这个计时数据并精确构造出封包 2014-9-18 16:33 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 10 楼我为自己代言顶一下 2014-9-19 18:12 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 11 楼 mygettimer(); 如果是时间戳的话就看游戏如果构造的你就根据他方法都base+off 2014-9-19 19:46 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 12 楼要调试客户端啊？估计不行现在游戏都有很多防护软件即使能OD调试我估计也看不懂汇编下的构造其实现在就是能构造但是时间貌似不精确因此不起效 2014-9-24 09:31 0
山货雪币： 21 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	山货 13 楼付费20万我帮你解决 2014-9-24 09:57 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 14 楼 20万啊？你能解决吗？不先露两手？ 2014-9-25 17:56 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 15 楼后面的没见变过如果是时间的话四个字节是秒级的吧对于网游来说是不够的因此最有可能的就是一个循环的毫秒级时间 3个字节在网上查到有一种叫做持续时间的时间戳就是3位的估计满了会循环吧 2014-9-25 17:58 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 16 楼闲来无事顶一下 2014-12-22 14:35 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 17 楼一般都是时间戳的，有可能加密的，不用OD跟是不现实的 2014-12-22 15:11 0
likecrack 雪币： 157 活跃值： (471) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 18 楼好像NP的包 2014-12-24 15:41 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 19 楼下个内存写入断点分分钟把搞飞机的位置给他撸出来 2014-12-26 19:42 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 20 楼貌似不是时间戳我开了多个账号每个抓到的这部分都不一样而且还大不一样按说只需要更换一下socket id 就可以用的但是事实并非如此假设现在这个是时间戳吧实际上我还是可以发送起效的至少大约可以用10分钟谁家时间戳这么不及时···？ 2015-2-13 11:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bluestarCC

发帖

161

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
chaogelai 雪币： 13 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 49 粉丝 0 关注私信	chaogelai 2 楼在封包的 9 10 11 位下访问跟一下，或者做个拦截 2014-9-12 16:58 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 3 楼您是说用OD 载入游戏发包的时候跟一下？在下不才跟了也看不懂啊····· 现在就是分析出这个可能是游戏启动后就开始计时的毫秒数晚上回去打算试一下发一个包抓一下然后把时间改的比上个包的时间大发送下看能成功不如果不成也可能是要求精确的连接后计时可以从游戏客户端内存里读出来构成包再发送再不行的话我也没思路了···· 不过貌似里面还有个包的时间比后面包的时间小怎么也通过了呢。。比如 7 8 两条 2014-9-12 17:24 0
zwhahui 雪币： 1404 活跃值： (3546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	zwhahui 4 楼 C8 AD 6F FD 应该是四个字节,最可能的是时间,因为在不断增加,后面那几个难道也是时间?例如系统启动,程序启动创建啥的时间? 2014-9-14 23:18 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 5 楼 4字节时间应该是秒级的精度对于网游是不够的 2014-9-15 14:58 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 6 楼刚才换算了下四字节的话不是时间秒数只有三个字节的网上说有一个持续时间戳跟这个一样系统与服务器连接后开始毫秒计时与服务器连接时间估计到16777215毫秒后从零开始计时吧这个不好测啊即使自己构造封包也来不及造出来超过太多的话不认太少的话有可能就比现在连接持续时间小了 2014-9-15 16:05 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 7 楼为自己顶一下 2014-9-18 09:38 0
第七城市雪币： 185 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 52 粉丝 0 关注私信	第七城市 8 楼是发送封包的时间截！ 2014-9-18 11:33 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 9 楼嗯是呀但是奇怪的是 3个字节 24位完全不足以存储年月日时分秒对于网游来说还是这里来说这里的时间戳都是毫秒级的 3位最大值就是 16777215 毫秒也就4个多小时先不管他满了是从0 开始还是其他什么办法这个时间貌似是一个客户端连接上服务器后开始计时的毫秒级时长不知道怎么能获得这个计时数据并精确构造出封包 2014-9-18 16:33 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 10 楼我为自己代言顶一下 2014-9-19 18:12 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 11 楼 mygettimer(); 如果是时间戳的话就看游戏如果构造的你就根据他方法都base+off 2014-9-19 19:46 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 12 楼要调试客户端啊？估计不行现在游戏都有很多防护软件即使能OD调试我估计也看不懂汇编下的构造其实现在就是能构造但是时间貌似不精确因此不起效 2014-9-24 09:31 0
山货雪币： 21 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	山货 13 楼付费20万我帮你解决 2014-9-24 09:57 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 14 楼 20万啊？你能解决吗？不先露两手？ 2014-9-25 17:56 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 15 楼后面的没见变过如果是时间的话四个字节是秒级的吧对于网游来说是不够的因此最有可能的就是一个循环的毫秒级时间 3个字节在网上查到有一种叫做持续时间的时间戳就是3位的估计满了会循环吧 2014-9-25 17:58 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 16 楼闲来无事顶一下 2014-12-22 14:35 0
无边雪币： 9479 活跃值： (757) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 606 粉丝 3 关注私信	无边 17 楼一般都是时间戳的，有可能加密的，不用OD跟是不现实的 2014-12-22 15:11 0
likecrack 雪币： 157 活跃值： (471) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 18 楼好像NP的包 2014-12-24 15:41 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 19 楼下个内存写入断点分分钟把搞飞机的位置给他撸出来 2014-12-26 19:42 0
bluestarCC 雪币： 189 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 161 粉丝 0 关注私信	bluestarCC 20 楼貌似不是时间戳我开了多个账号每个抓到的这部分都不一样而且还大不一样按说只需要更换一下socket id 就可以用的但是事实并非如此假设现在这个是时间戳吧实际上我还是可以发送起效的至少大约可以用10分钟谁家时间戳这么不及时···？ 2015-2-13 11:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复