游戏封包应该如何截取

怎么来分析我们截获的封包？

首先我们将WPE截获的封包保存为文本文件，然后打开它，这时会看到如下的数据（这里我们以金庸群侠传里PK店小二客户端发送的数据为例来讲解）：

第一个文件：SEND->0000E6560D227E6BE417131312131213671BSEND->00101712DD341212121217120E1212129BSEND->0000E6561EF1290617123B0E171ASEND->0000E6561BC0681212125ASEND->0000E65602C813C97E6BE417103527131212SEND->0000E65617C912

第二个文件：SEND->0000833368471B0E8172767677767776027ESEND->00107277071C777777777277727777776DSEND->000083337B944C6372775E6B72F3SEND->000083337EA5217777773FSEND->0000833367AD76CF1B0E8172755042767777SEND->0000833372AC77

我们发现两次PK店小二的数据格式一样，但是内容却不相同，我们是PK的同一个NPC，为什么会不同呢？原来金庸群侠传的封包是经过了加密运算才在网路上传输的，那么我们面临的问题就是如何将密文解密成明文再分析了。

因为一般的数据包加密都是异或运算，所以这里先讲一下什么是异或。简单的说异或就是相同为0，不同为1（这是针对二进制按位来讲的），举个例子，0001和0010异或，我们按位对比，得到异或结果是0011，计算的方法是：0001的第4位为0，0010的第4位为0，它们相同，则异或结果的第4位按照相同为0，不同为1的原则得到0，0001的第3位为0，0010的第3位为0，则异或结果的第3位得到0，0001的第2位为0，0010的第2位为1，则异或结果的第2位得到1，0001的第1位为1，0010的第1位为0，则异或结果的第1位得到1，组合起来就是0011。异或运算今后会遇到很多，大家可以先熟悉熟悉，熟练了对分析很有帮助的。

下面我们继续看看上面的两个文件，按照常理，数据包的数据不会全部都有值的，游戏开发时会预留一些字节空间来便于日后的扩充，也就是说数据包里会存在一些00的字节，观察上面的文件，我们会发现文件一里很多12，文件二里很多77，那么这是不是代表我们说的00呢？推理到这里，我们就开始行动吧！

我们把文件一与12异或，文件二与77异或，当然用手算很费事，我们使用M2M1.0加密封包分析工具来计算就方便多了。得到下面的结果：

第一个文件：1SEND->0000F4441F306C79F6050101000100017509SEND->00100500CF260000000005001C000000892SEND->0000F4440CE33B130500291C05083SEND->0000F44409D27A000000484SEND->0000F44410DA01DB6C79F6050227350100005SEND->0000F44405DB00

第二个文件：1SEND->0000F4441F306C79F6050101000100017509SEND->00100500706B000000000500050000001A2SEND->0000F4440CE33B130500291C05843SEND->0000F44409D256000000484SEND->0000F44410DA01B86C79F6050227350100005SEND->0000F44405DB00

哈，这一下两个文件大部分都一样啦，说明我们的推理是正确的，上面就是我们需要的明文！

接下来就是搞清楚一些关键的字节所代表的含义，这就需要截获大量的数据来分析。

首先我们会发现每个数据包都是F444开头，第3个字节是变化的，但是变化很有规律。我们来看看各个包的长度，发现什么没有？对了，第3个字节就是包的长度！通过截获大量的数据包，我们判断第4个字节代表指令，也就是说客户端告诉服务器进行的是什么操作。例如向服务器请求战斗指令为30，战斗中移动指令为D4等。接下来我们就需要分析一下上面第一个包F4441F306C79F60501010001000175090500CF260000000005001C00000089，在这个包里包含什么信息呢？应该有通知服务器你PK的哪个NPC吧，我们就先来找找这个店小二的代码在什么地方。我们再PK一个小喽罗（就是大理客栈外的那个咯）：SEND->0000F4441F30D475F6050101000100017509SEND->001005008A1900000000110002000000C0我们根据常理分析，游戏里的NPC种类虽然不会超过65535（FFFF），但开发时不会把自己限制在字的范围，那样不利于游戏的扩充，所以我们在双字里看看。通过店小二和小喽罗两个包的对比，我们把目标放在6C79F605和CF260000上。（对比一下很容易的，但你不能太迟钝咯，呵呵）我们再看看后面的包，在后面的包里应该还会出现NPC的代码，比如移动的包，游戏允许观战，服务器必然需要知道NPC的移动坐标，再广播给观战的其他玩家。在后面第4个包SEND->0000F44410DA01DB6C79F605022735010000里我们又看到了6C79F605，初步断定店小二的代码就是它了！（这分析里边包含了很多工作的，大家可以用WPE截下数据来自己分析分析）

第一个包的分析暂时就到这里（里面还有的信息我们暂时不需要完全清楚了）

我们看看第4个包SEND->0000F44410DA01DB6C79F605022735010000，再截获PK黄狗的包，（狗会出来2只哦）看看包的格式：SEND->0000F4441ADA020B4B7DF605022735010000SEND->0010EB03F805022736010000

根据上面的分析，黄狗的代码为4B7DF605（100040011），不过两只黄狗服务器怎样分辨呢？看看EB03F805（100140011），是上一个代码加上100000，呵呵，这样服务器就可以认出两只黄狗了。我们再通过野外遇敌截获的数据包来证实，果然如此。

那么这个包的格式应该比较清楚了：第3个字节为包的长度，DA为指令，第5个字节为NPC个数，从第7个字节开始的10个字节代表一个NPC的信息，多一个NPC就多10个字节来表示。

大家如果玩过网金，必然知道随机遇敌有时会出现增援，我们就利用游戏这个增援来让每次战斗都会出现增援的NPC吧。

通过在战斗中出现增援截获的数据包，我们会发现服务器端发送了这样一个包：F44412E9EB03F80502000003000000000000第5-第8个字节为增援NPC的代码（这里我们就简单的以黄狗的代码来举例）。那么我们就利用单机代理技术来同时欺骗客户端和服务器吧！

好了呼叫NPC的工作到这里算是完成了一小半，接下来的事情，怎样修改封包和发送封包，我们下节继续讲解吧。