最新文章


·天书奇谈人物属性介绍

·龙将30级50级紫将猜拳终极攻略

·凡人修真2飞仙转职攻略

·精选网络游戏唯美图片

·精选动漫游戏唯美图片

·游戏原画电脑高清插图

·游戏美女内田真礼写真集

·仙侠世界降低极品装备获取难度

·经典游戏星球大战高清图片

·御龙在天游戏美女图片

·第七大道神曲日常福利

·智力小游戏水果忍者图片

·炫舞吧高清游戏图片

·腾讯QQ宠物企鹅游戏图片

·最终幻想7萨菲罗斯高清图片

·街头篮球高清游戏图片

·电子基盘游戏界面

·七雄争霸勇闯重楼

·仙剑Online2.0游戏高清图片

·神仙道新雄霸天下比赛规则

·网络游戏美女高清图片

·童年游戏马里奥高清图片

·《上古世纪》独家试玩体验

·神仙道世界BOSS说明

·生化危机6官方游戏图片

·仙剑奇侠传5游戏图片

·神仙传最新游戏官方图片

·推荐好玩的NDS游戏

·王国印记常用职业介绍

·游戏美女高清CG合集


游戏外挂基本原理及实现


游戏外挂基本原理及实现
1、游戏   外挂的原理
  外挂现在分为好多种,比如模拟键盘的,鼠标的,修改数据包的,还有修改本地内存
的,但好像没有修改服务器内存的哦,呵呵。其实修改服务器也是有办法的,只是技术太高
一般人没有办法入手而已。(比如请GM去夜总会、送礼、收黑钱等等办法都可以修改服务器
  数据,哈哈)
  修改游戏无非是修改一下本地内存的数据,或者截获API函数等等。这里我把所能想到
的方法都作一个介绍,希望大家能做出很好的外挂来使游戏厂商更好的完善自己的技术。我
见到一篇文章是讲魔力宝贝的理论分析,写得不错,大概是那个样子。下来我就讲解一下技
  术方面的东西,以作引玉之用。
2、技术分析部分
  2.1    模拟键盘或鼠标的响应
    我们一般使用:
  UINT SendInput( 
    UINT nInputs,     // count of input events 
    LPINPUT pInputs, // array of input events 
    int cbSize    // size of structure 
  ); 
  API函数。第一个参数是说明第二个参数的矩阵的维数的,第二个参数包含了响应事件,
这个自己填充就可以,最后是这个结构的大小,非常简单,这是最简单的方法模拟键盘鼠
  标了,呵呵。注意,这个函数还有个替代函数:
  VOID keybd_event( 
    BYTE bVk,       //    虚拟键码
    BYTE bScan,      //    扫描码
    DWORD dwFlags, 
    ULONG_PTR dwExtraInfo //    附加键状态
  ); 
    与
  VOID mouse_event( 
    DWORD dwFlags,        // motion and click options 
    DWORD dx,            // horizontal position or change 
    DWORD dy,        // vertical position or change 
    DWORD dwData,      // wheel movement 
    ULONG_PTR dwExtraInfo  // application-defined information 
  ); 
  这两个函数非常简单了,我想那些按键精灵就是用的这个吧。上面的是模拟键盘,下面
的是模拟鼠标的。这个仅仅是模拟部分,要和游戏联系起来我们还需要找到游戏的窗口才行,
或者包含快捷键,就象按键精灵的那个激活键一样,我们可以用GetWindow函数来枚举窗
口 , 也 可 以 用Findwindow 函 数 来 查 找 制 定 的 窗 口 ( 注 意 , 还 有 一 个
FindWindowEx),FindwindowEx可以找到窗口的子窗口,比如按钮,等什么东西。当游戏
切换场景的时候我们可以用FindWindowEx来确定一些当前窗口的特征,从而判断是否还
在这个场景,方法很多了,比如可以GetWindowInfo来确定一些东西,比如当查找不到某
个按钮的时候就说明游戏场景已经切换了,等等办法。有的游戏没有控件在里面,这是对图
  像做坐标变换的话,这种方法就要受到限制了。这就需要我们用别的办法来辅助分析了。
  至于快捷键我们要用动态连接库实现了,里面要用到hook技术了,这个也非常简单。
大家可能都会了,其实就是一个全局的hook对象然后SetWindowHook就可以了,回调函
数都是现成的,而且现在网上的例子多如牛毛。这个实现在外挂中已经很普遍了。如果还有
谁不明白,那就去看看MSDN查找SetWindowHook   就可以了。
  不要低估了这个动态连接库的作用,它可以切入所有的进程空间,也就是可以加载到
所有的游戏里面哦,只要用对,你会发现很有用途的。这个需要你复习一下Win32编程的基
  础知识了。呵呵,赶快去看书吧。
  2.2    截获消息
  有些游戏的响应机制比较简单,是基于消息的,或者用什么定时器的东西。这个时候你
  就可以用拦截消息来实现一些有趣的功能了。
  我们拦截消息使用的也是hook技术,里面包括了键盘消息,鼠标消息,系统消息,日
志等,别的对我们没有什么大的用处,我们只用拦截消息的回调函数就可以了,这个不会
让我写例子吧。其实这个和上面的一样,都是用SetWindowHook来写的,看看就明白了很
  简单的。
  至于拦截了以后做什么就是你的事情了,比如在每个定时器消息里面处理一些我们的
数据判断,或者在定时器里面在模拟一次定时器,那么有些数据就会处理两次,呵呵。后果
嘛,不一定是好事情哦,呵呵,不过如果数据计算放在客户端的游戏就可以真的改变数据
  了,呵呵,试试看吧。用途还有很多,自己想也可以想出来的,呵呵。
  2.3 拦截Socket   包
    这个技术难度要比原来的高很多。
  首先我们要替换WinSock.DLL或者WinSock32.DLL,我们写的替换函数要和原来的函
数一致才行,就是说它的函数输出什么样的,我们也要输出什么样子的函数,而且参数,
参数顺序都要一样才行,然后在我们的函数里面调用真正的WinSock32.DLL里面的函数就
  可以了。
    首先:我们可以替换动态库到系统路径。
  其次:我们应用程序启动的时候可以加载原有的动态库,用这个函数LoadLibary然后
定位函数入口用GetProcAddress函数获得每个真正Socket   函数的入口地址。
  当游戏进行的时候它会调用我们的动态库,然后从我们的动态库中处理完毕后才跳转
到真正动态库的函数地址,这样我们就可以在里面处理自己的数据了,应该是一切数据。呵
呵,兴奋吧,拦截了数据包我们还要分析之后才能进行正确的应答,不要以为这样工作就
完成了,还早呢。等分析完毕以后我们还要仿真应答机制来和服务器通信,一个不小心就会
  被封号。
  分析数据才是工作量的来源呢,游戏每次升级有可能加密方式会有所改变,因此我们
  写外挂的人都是亡命之徒啊,被人愚弄了还不知道。
  2.4 截获API 
  上面的技术如果可以灵活运用的话我们就不用截获API函数了,其实这种技术是一种
补充技术。比如我们需要截获Socket以外的函数作为我们的用途,我们就要用这个技术了,
其实我们也可以用它直接拦截在Socket   中的函数,这样更直接。
  现在拦截API的教程到处都是,我就不列举了,我用的比较习惯的方法是根据输入节
进行拦截的,这个方法可以用到任何一种操作系统上,比如Windows 98/2000等,有些方
法不是跨平台的,我不建议使用。这个技术大家可以参考《Windows核心编程》里面的545页
开始的内容来学习,如果是Win98 “ 系统可以用Windows ”   系统奥秘那个最后一章来学习。
goodmorning收集*整理(请勿删除)
网络游戏外挂编写基础①
要想在修改游戏中做到百战百胜,是需要相当丰富的计算机知识的。有很多计算机高手就是
从玩游戏,修改游戏中,逐步对计算机产生浓厚的兴趣,逐步成长起来的。不要在羡慕别人
能够做到的,因为别人能够做的你也能够!我相信你们看了本教程后,会对游戏有一个全
新的认识,呵呵,因为我是个好老师!(别拿鸡蛋砸我呀,救命啊!#¥%……*   )   不
  过要想从修改游戏中学到知识,增加自己的计算机水平,可不能只是靠修改游戏呀!要知
道,修改游戏只是一个验证你对你所了解的某些计算机知识的理解程度的场所,只能给你
一些发现问题、解决问题的机会,只能起到帮助你提高学习计算机的兴趣的作用,而决不是
  学习计算机的捷径。
    一:什么叫外挂?
  现在的网络游戏多是基于Internet上客户/服务器模式,服务端程序运行在游戏服务器
上,游戏的设计者在其中创造一个庞大的游戏空间,各地的玩家可以通过运行客户端程序
同时登录到游戏中。简单地说,网络游戏实际上就是由游戏开发商提供一个游戏环境,而玩
家们就是在这个环境中相对自由和开放地进行游戏操作。那么既然在网络游戏中有了服务器
这个概念,我们以前传统的修改游戏方法就显得无能为力了。记得我们在单机版的游戏中,
随心所欲地通过内存搜索来修改角色的各种属性,这在网络游戏中就没有任何用处了。因为
我们在网络游戏中所扮演角色的各种属性及各种重要资料都存放在服务器上,在我们自己
机器上(客户端)只是显示角色的状态,所以通过修改客户端内存里有关角色的各种属性
是不切实际的。那么是否我们就没有办法在网络游戏中达到我们修改的目的?回答是"否"。
  我们知道Internet客户/服务器模式的通讯一般采用TCP/IP通信协议,数据交换是通
过IP数据包的传输来实现的,一般来说我们客户端向服务器发出某些请求,比如移动、战
斗等指令都是通过封包的形式和服务器交换数据。那么我们把本地发出消息称为SEND,意
思就是发送数据,服务器收到我们SEND的消息后,会按照既定的程序把有关的信息反馈
给客户端,比如,移动的坐标,战斗的类型。那么我们把客户端收到服务器发来的有关消息
称为RECV。知道了这个道理,接下来我们要做的工作就是分析客户端和服务器之间往来的
数据(也就是封包),这样我们就可以提取到对我们有用的数据进行修改,然后模拟服务
器发给客户端,或者模拟客户端发送给服务器,这样就可以实现我们修改游戏的目的了。
  目前除了修改游戏封包来实现修改游戏的目的,我们也可以修改客户端的有关程序来
达到我们的要求。我们知道目前各个服务器的运算能力是有限的,特别在游戏中,游戏服务
器要计算游戏中所有玩家的状况几乎是不可能的,所以有一些运算还是要依靠我们客户端
来完成,这样又给了我们修改游戏提供了一些便利。比如我们可以通过将客户端程序脱壳来
发现一些程序的判断分支,通过跟踪调试我们可以把一些对我们不利的判断去掉,以此来
  满足我们修改游戏的需求。在下几个章节中,我们将给大家讲述封包的概念,和修改跟踪
  客户端的有关知识。大家准备好了吗?
    游戏数据格式和存储:
  在进行我们的工作之前,我们需要掌握一些关于计算机中储存数据方式的知识和游戏
中储存数据的特点。本章节是提供给菜鸟级的玩家看的,如果你是高手就可以跳过了,如果,
你想成为无坚不摧的剑客,那么,这些东西就会花掉你一些时间;如果,你只想作个江湖
  的游客的话,那么这些东西,了解与否无关紧要。是作剑客,还是作游客,你选择吧!
  现在我们开始!首先,你要知道游戏中储存数据的几种格式,这几种格式是:字节
(BYTE)、字(WORD)和双字(DOUBLE WORD),或者说是8位、16位和32位储存方式。字节
也就是8位方式能储存0~255的数字;字或说是16位储存方式能储存0~65535的数;双字
即32位方式能储存0~4294967295   的数。
  为何要了解这些知识呢?在游戏中各种参数的最大值是不同的,有些可能100左右就
够了,比如,金庸群侠传中的角色的等级、随机遇敌个数等等。而有些却需要大于255甚至
大于65535,象金庸群侠传中角色的金钱值可达到数百万。所以,在游戏中各种不同的数据
的类型是不一样的。在我们修改游戏时需要寻找准备修改的数据的封包,在这种时候,正确
  判断数据的类型是迅速找到正确地址的重要条件。
  在计算机中数据以字节为基本的储存单位,每个字节被赋予一个编号,以确定各自的
  位置。这个编号我们就称为地址。
  在需要用到字或双字时,计算机用连续的两个字节来组成一个字,连续的两个字组成
  一个双字。而一个字或双字的地址就是它们的低位字节的地址。现在我们常用的Windows 
9x操作系统中,地址是用一个32位的二进制数表示的。而在平时我们用到内存地址时,总
是用一个8位的16   进制数来表示它。
    二进制和十六进制又是怎样一回事呢?
  简单说来,二进制数就是一种只有0和1两个数码,每满2则进一位的计数进位法。同
样,16进制就是每满十六就进一位的计数进位法。16进制有0--F十六个数字,它为表示十
到十五的数字采用了A、B、C、D、E、F六个数字,它们和十进制的对应关系是:A对应于
10,B对应于11,C对应于12,D对应于13,E对应于14,F对应于15。而且,16进制数
和二进制数间有一个简单的对应关系,那就是;四位二进制数相当于一位16进制数。比如,
一个四位的二进制数1111就相当于16进制的F,1010就相当于A   。
  了解这些基础知识对修改游戏有着很大的帮助,下面我就要谈到这个问题。由于在计算
机中数据是以二进制的方式储存的,同时16进制数和二进制间的转换关系十分简单,所以
大部分的修改工具在显示计算机中的数据时会显示16进制的代码,而且在你修改时也需要
输入16   进制的数字。你清楚了吧?
  在游戏中看到的数据可都是十进制的,在要寻找并修改参数的值时,可以使用
Windows提供的计算器来进行十进制和16进制的换算,我们可以在开始菜单里的程序组中
  的附件中找到它。
  现在要了解的知识也差不多了!不过,有个问题在游戏修改中是需要注意的。在计算机
中数据的储存方式一般是低位数储存在低位字节,高位数储存在高位字节。比如,十进制数
41715转换为16进制的数为A2F3,但在计算机中这个数被存为F3A2   。
    看了以上内容大家对数据的存贮和数据的对应关系都了解了吗?好了,接下来我们要
告诉大家在游戏中,封包到底是怎么一回事了,来!大家把袖口卷起来,让我们来干活吧
 
    二:什么是封包?
  怎么截获一个游戏的封包?怎么去检查游戏服务器的ip   地址和端口号?Internet用户
使用的各种信息服务,其通讯的信息最终均可以归结为以IP包为单位的信息传送,IP包除
了包括要传送的数据信息外,还包含有信息要发送到的目的IP地址、信息发送的源IP地址、
以及一些相关的控制信息。当一台路由器收到一个IP数据包时,它将根据数据包中的目的
IP地址项查找路由表,根据查找的结果将此IP数据包送往对应端口。下一台IP路由器收到
此数据包后继续转发,直至发到目的地。路由器之间可以通过路由协议来进行路由信息的交
  换,从而更新路由表。
  那么我们所关心的内容只是IP包中的数据信息,我们可以使用许多监听网络的工具来
截获客户端与服务器之间的交换数据,下面就向你介绍其中的一种工具:WPE   。
  WPE使用方法:执行WPE   会有下列几项功能可选择:
  SELECT GAME   选择目前在记忆体中您想拦截的程式,您只需双击该程式名称即可。
  TRACE追踪功能。用来追踪撷取程式送收的封包。WPE必须先完成点选欲追踪的程式
  名称,才可以使用此项目。按下Play   键开始撷取程式收送的封包。您可以随时按下| | 暂停
  追踪,想继续时请再按下| | 。按下正方形可以停止撷取封包并且显示所有已撷取封包内容。
若您没按下正方形停止键,追踪的动作将依照OPTION里的设定值自动停止。如果您没有
撷取到资料,试试将OPTION里调整为Winsock Version 2。WPE    及Trainers 是设定在显示至
少16 bits    颜色下才可执行。
  FILTER   过滤功能。用来分析所撷取到的封包,并且予以修改。
  SEND PACKET   送出封包功能。能够让您送出假造的封包。
  TRAINER MAKER制作   修改器。
  OPTIONS设定功能。让您调整WPE   的一些设定值。
  FILTER   的详细教学
  - 当FILTER   在启动状态时,ON的按钮会呈现红色。- 当您启动FILTER时,您随时可
以关闭这个视窗。FILTER   将会保留在原来的状态,直到您再按一次on / off 钮。- 只有
FILTER启用钮在OFF的状态下,才可以勾选Filter前的方框来编辑修改。- 当您想编辑某个
Filter,只要双击该Filter   的名字即可。
  NORMAL MODE   :
    范例:
    当您在Street Fighter Online ﹝快打旋风线上版?#123;游戏中,您使用了两次火球而且
击中了对方,这时您会撷取到以下的封包:SEND-> 0000 08 14 21 06 01 04 SEND-> 0000 02 
09 87 00 67 FF A4 AA 11 22 00 00 00 00 SEND-> 0000 03 84 11 09 11 09 SEND-> 0000 0A 09 
C1 10 00 00 FF 52 44 SEND-> 0000 0A 09 C1 10 00 00 66 52 44 
  您的第一个火球让对方减了16滴﹝16 = 10h?#123;的生命值,而您观察到第4跟第5个
封包的位置4有10h   的值出现,应该就是这里了。
  您观察10h前的0A 09 C1在两个封包中都没改变,可见得这3个数值是发出火球的关
  键。
  因此您将0A 09 C1 10填在搜寻列﹝SEARCH?#123;,然后在修改列﹝MODIFY?#123;的
位置4填上FF。如此一来,当您再度发出火球时,FF会取代之前的10,也就是攻击力为
255   的火球了!
  ADVANCED MODE   :
    范例:当您在一个游戏中,您不想要用真实姓名,您想用修改过的假名传送给对方。
在您使用TRACE后,您会发现有些封包里面有您的名字出现。假设您的名字是Shadow,
换算成16进位则是﹝53 68 61 64 6F 77?#123;;而您打算用moon 6D 6F 6F 6E 20 20?#123; ﹝
来取代他。1) SEND-> 0000 08 14 21 06 01 042) SEND-> 0000 01 06 99 53 68 61 64 6F 77 00 01 
05 3) SEND-> 0000 03 84 11 09 11 094) SEND-> 0000 0A 09 C1 10 00 53 68 61 64 6F 77 00 11 
5) SEND-> 0000 0A 09 C1 10 00 00 66 52 44 
    但是您仔细看,您的名字在每个封包中并不是出现在相同的位置上
  - 在第2个封包里,名字是出现在第4个位置上- 在第4个封包里,名字是出现在第6
  个位置上
  在这种情况下,您就需要使用ADVANCED MODE- 您在搜寻列﹝SEARCH?#123;填上:
53 68 61 64 6F 77 ﹝请务必从位置1开始填?#123;- 您想要从原来名字Shadow的第一个字母
开始置换新名字,因此您要选择从数值被发现的位置开始替代连续数值﹝from the position of 
the chain found?#123;。- 现在,在修改列﹝MODIFY?#123;000的位置填上:6D 6F 6F 6E 20 
20 ﹝此为相对应位置,也就是从原来搜寻栏的+001位置开始递换?#123;- 如果您想从封包
的第一个位置就修改数值,请选择﹝from the beginning of the packet?#123; 
  了解一点TCP/IP协议常识的人都知道,互联网是将信息数据打包之后再传送出去的。
每个数据包分为头部信息和数据信息两部分。头部信息包括数据包的发送地址和到达地址等。
数据信息包括我们在游戏中相关操作的各项信息。那么在做截获封包的过程之前我们先要知
道游戏服务器的IP地址和端口号等各种信息,实际上最简单的是看看我们游戏目录下,是
否有一个SERVER.INI的配置文件,这个文件里你可以查看到个游戏服务器的IP地址,比
如金庸群侠传就是如此,那么除了这个我们还可以在DOS下使用NETSTAT   这个命令,
  NETSTAT命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前
都有哪些网络连接正在运作。或者你可以使用木马客星等工具来查看网络连接。工具是很多
  的,看你喜欢用哪一种了。
  NETSTAT命令的一般格式为:NETSTAT [选项] 
  命令中各选项的含义如下:-a 显示所有socket,包括正在监听的。-c 每隔1秒就重新显
示一遍,直到用户中断它。-i 显示所有网络接口的信息。-n 以网络IP地址代替名称,显示出
网络连接情形。-r 显示核心路由表,格式同"route -e"。-t 显示TCP协议的连接情况。-u 显示
UDP协议的连接情况。-v    显示正在进行的工作。
goodmorning收*集整理2(请勿删除)
网络游戏外挂编写基础②
  三:怎么来分析我们截获的封包?
  首先我们将WPE截获的封包保存为文本文件,然后打开它,这时会看到如下的数据
(这里我们以金庸群侠传里PK   店小二客户端发送的数据为例来讲解):
  第一个文件:SEND-> 0000 E6 56 0D 22 7E 6B E4 17 13 13 12 13 12 13 67 1BSEND-> 
0010 17 12 DD 34 12 12 12 12 17 12 0E 12 12 12 9BSEND-> 0000 E6 56 1E F1 29 06 17 12 3B 
0E 17 1ASEND-> 0000 E6 56 1B C0 68 12 12 12 5ASEND-> 0000 E6 56 02 C8 13 C9 7E 6B E4 
17 10 35 27 13 12 12SEND-> 0000 E6 56 17 C9 12 
  第二个文件:SEND-> 0000 83 33 68 47 1B 0E 81 72 76 76 77 76 77 76 02 7ESEND-> 
0010 72 77 07 1C 77 77 77 77 72 77 72 77 77 77 6DSEND-> 0000 83 33 7B 94 4C 63 72 77 5E 
6B 72 F3SEND-> 0000 83 33 7E A5 21 77 77 77 3FSEND-> 0000 83 33 67 AD 76 CF 1B 0E 81 
72 75 50 42 76 77 77SEND-> 0000 83 33 72 AC 77 
  我们发现两次PK店小二的数据格式一样,但是内容却不相同,我们是PK的同一个
NPC   ,为什么会不同呢?原来金庸群侠传的封包是经过了加密运算才在网路上传输的,那
  么我们面临的问题就是如何将密文解密成明文再分析了。
    因为一般的数据包加密都是异或运算,所以这里先讲一下什么是异或。简单的说,异
或就是"相同为0,不同为1"(这是针对二进制按位来讲的),举个例子,0001和0010异
或,我们按位对比,得到异或结果是0011,计算的方法是:0001的第4位为0,0010的第
4位为0,它们相同,则异或结果的第4位按照"相同为0,不同为1"的原则得到0,0001的
第3位为0,0010的第3位为0,则异或结果的第3位得到0,0001的第2位为0,0010的
第2位为1,则异或结果的第2位得到1,0001的第1位为1,0010的第1位为0,则异或
结果的第1位得到1,组合起来就是0011。异或运算今后会遇到很多,大家可以先熟悉熟悉,
  熟练了对分析很有帮助的。
  下面我们继续看看上面的两个文件,按照常理,数据包的数据不会全部都有值的,游
戏开发时会预留一些字节空间来便于日后的扩充,也就是说数据包里会存在一些"00"的字
节,观察上面的文件,我们会发现文件一里很多"12",文件二里很多"77",那么这是不是
代表我们说的"00"   呢?推理到这里,我们就开始行动吧!
  我们把文件一与"12"异或,文件二与"77"异或,当然用手算很费事,我们使用"M2M 
1.0 加密封包分析工具"   来计算就方便多了。得到下面的结果:
  第一个文件:1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 
0010 05 00 CF 26 00 00 00 00 05 00 1C 00 00 00 892 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 
1C 05 083 SEND-> 0000 F4 44 09 D2 7A 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 DB 6C 79 
F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00 
  第二个文件:1 SEND-> 0000 F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09SEND-> 
0010 05 00 70 6B 00 00 00 00 05 00 05 00 00 00 1A2 SEND-> 0000 F4 44 0C E3 3B 13 05 00 29 
1C 05 843 SEND-> 0000 F4 44 09 D2 56 00 00 00 484 SEND-> 0000 F4 44 10 DA 01 B8 6C 79 
F6 05 02 27 35 01 00 005 SEND-> 0000 F4 44 05 DB 00 
  哈,这一下两个文件大部分都一样啦,说明我们的推理是正确的,上面就是我们需要
  的明文!
    接下来就是搞清楚一些关键的字节所代表的含义,这就需要截获大量的数据来分析。
  首先我们会发现每个数据包都是"F4 44"开头,第3个字节是变化的,但是变化很有规
律。我们来看看各个包的长度,发现什么没有?对了,第3   个字节就是包的长度!通过截
获大量的数据包,我们判断第4个字节代表指令,也就是说客户端告诉服务器进行的是什
么操作。例如向服务器请求战斗指令为"30",战斗中移动指令为"D4"   等。接下来,我们就需
要分析一下上面第一个包"F4 44 1F 30 6C 79 F6 05 01 01 00 01 00 01 75 09 05 00 CF 26 00 00 
00 00 05 00 1C 00 00 00 89",在这个包里包含什么信息呢?应该有通知服务器你PK的哪个
NPC   吧,我们就先来找找这个店小二的代码在什么地方。 我们再PK一个小喽罗(就是大
理客栈外的那个咯):SEND-> 0000 F4 44 1F 30 D4 75 F6 05 01 01 00 01 00 01 75 09SEND-> 0010 05 00 8A 19 00 00 00 00 11 00 02 00 00 00 C0 我们根据常理分析,游戏里的NPC种类
虽然不会超过65535(FFFF),但开发时不会把自己限制在字的范围,那样不利于游戏的
扩充,所以我们在双字里看看。通过"店小二"和"小喽罗"两个包的对比,我们把目标放
在"6C 79 F6 05"和"CF 26 00 00"上。(对比一下很容易的,但你不能太迟钝咯,呵呵)我们
再看看后面的包,在后面的包里应该还会出现NPC的代码,比如移动的包,游戏允许观战,
服务器必然需要知道NPC的移动坐标,再广播给观战的其他玩家。在后面第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00"里我们又看到了"6C 79 F6 05",初
步断定店小二的代码就是它了!(这分析里边包含了很多工作的,大家可以用WPE截下数
  据来自己分析分析)
    第一个包的分析暂时就到这里(里面还有的信息我们暂时不需要完全清楚了)
  我们看看第4个包"SEND-> 0000 F4 44 10 DA 01 DB 6C 79 F6 05 02 27 35 01 00 00",再
截获PK黄狗的包,(狗会出来2只哦)看看包的格式:SEND-> 0000 F4 44 1A DA 02 0B 
4B 7D F6 05 02 27 35 01 00 00SEND-> 0010 EB 03 F8 05 02 27 36 01 00 00 
  根据上面的分析,黄狗的代码为"4B 7D F6 05"(100040011),不过两只黄狗服务器怎
样分辨呢?看看"EB 03 F8 05"(100140011),是上一个代码加上100000,呵呵,这样服
  务器就可以认出两只黄狗了。我们再通过野外遇敌截获的数据包来证实,果然如此。
  那么,这个包的格式应该比较清楚了:第3个字节为包的长度,"DA"为指令,第5个
字节为NPC个数,从第7个字节开始的10个字节代表一个NPC的信息,多一个NPC就多
10   个字节来表示。
  大家如果玩过网金,必然知道随机遇敌有时会出现增援,我们就利用游戏这个增援来
让每次战斗都会出现增援的NPC   吧。
  通过在战斗中出现增援截获的数据包,我们会发现服务器端发送了这样一个包:F4 44 
12 E9 EB 03 F8 05 02 00 00 03 00 00 00 00 00 00 第5-第8个字节为增援NPC的代码(这里
  我们就简单的以黄狗的代码来举例)。那么,我们就利用单机代理技术来同时欺骗客户端
  和服务器吧!
  好了,呼叫NPC的工作到这里算是完成了一小半,接下来的事情,怎样修改封包和发
  送封包,我们下节继续讲解吧。
  四:怎么冒充"客户端"向"服务器"   发我们需要的封包?
  这里我们需要使用一个工具,它位于客户端和服务器端之间,它的工作就是进行数据
包的接收和转发,这个工具我们称为代理。如果代理的工作单纯就是接收和转发的话,这就
毫无意义了,但是请注意:所有的数据包都要通过它来传输,这里的意义就重大了。我们可
以分析接收到的数据包,或者直接转发,或者修改后转发,或者压住不转发,甚至伪造我
  们需要的封包来发送。
    下面我们继续讲怎样来同时欺骗服务器和客户端,也就是修改封包和伪造封包。通过
我们上节的分析,我们已经知道了打多个NPC   的封包格式,那么我们就动手吧!
  首先我们要查找客户端发送的包,找到战斗的特征,就是请求战斗的第1个包,我们
找"F4 44 1F 30"   这个特征,这是不会改变的,当然是要解密后来查找哦。找到后,表示客户
  端在向服务器请求战斗,我们不动这个包,转发。继续向下查找,这时需要查找的特征码
不太好办,我们先查找"DA",这是客户端发送NPC信息的数据包的指令,那么可能其他
包也有"DA",没关系,我们看前3个字节有没有"F4 44"就行了。找到后,我们的工作就开
  始了!
  我们确定要打的NPC数量。这个数量不能很大,原因在于网金的封包长度用一个字节
表示,那么一个包可以有255个字节,我们上面分析过,增加一个NPC要增加10个字节,
所以大家算算就知道,打20个NPC   比较合适。
  然后我们要把客户端原来的NPC代码分析计算出来,因为增加的NPC代码要加上
100000哦。再把我们增加的NPC代码计算出来,并且组合成新的封包,注意代表包长度的
字节要修改啊,然后转发到服务器,这一步在编写程序的时候要注意算法,不要造成较大
  延迟。
  上面我们欺骗服务器端完成了,欺骗客户端就简单了。
  发送了上面的封包后,我们根据新增NPC代码构造封包马上发给客户端,格式就
是"F4 44 12 E9 NPC   代码02 00 00 03 00 00 00 00 00 00",把每个新增的NPC都构造这样一个
  包,按顺序连在一起发送给客户端,客户端也就被我们骗过了,很简单吧。
    以后战斗中其他的事我们就不管了,尽情地开打吧。