网络通信封包解析

最新推荐文章于 2022-04-19 04:41:41 发布
最新推荐文章于 2022-04-19 04:41:41 发布
阅读量806 收藏 2
点赞数
文章标签: c++ 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55875295/article/details/124185898
版权
本文探讨了如何通过解析网络游戏通信系统,定位并理解明文数据在聊天功能中的加密过程,揭示了发送数据的关键函数和可能的破解路径。通过跟踪栈信息,作者展示了如何在多线程通信中找到加密前的数据组织点,对于游戏开发者和逆向工程师具有实用价值。
摘要由CSDN通过智能技术生成

项目需求:

为游戏聊天功能制作增强功能,能够使用户在脱离游戏界面的情况下使用窗口化助手进行聊天,能够设置自动回复,记录关键聊天记录,自动说话等

        游戏聊天功能本身比较不容易找到切入点,类似这种不容易找到切入点的功能,我们都可以通过解析网络游戏的通信系统,来找到切入点,另外一个软件或者网络的通信系统是一个程序的核心命脉,全面解读通信系统有助于我们二次开发

首先是网络通信系统的解读和还原

应用程序网络通信的经典流程

  1. 组织数据-> 加密数据 -> 发送数据
  2. 接收数据 -> 解密数据 -> 处理数据

一般游戏里加密都是 凯撒密码的变种 它的特点就是替换 或者加偏移 加密前后大小不变

发送的时候可能有中间人攻击,就是这个数据会被截取,那么有了加密算法加密以后,中间人没有加密算法的话,只要做个变种,就算知道是凯撒密码,稍微调一下,破解难度还是比较大的,攻击成本就变高了

加密完了就是发送

服务器处理完了还要把数据传回来,就要接收数据,服务器一般也会对数据加密,接着就解密,然后处理数据...

所有的基本都是这个流程

应用程序网络通信的两种架构:
一、单线程通信

  1. 组织数据->加密数据->发送数据
  2. 接收数据->解密数据->处理数据

二、多线程通信

  1. 组织数据->加密数据->投递数据进入发送队列
    读取发送队列->发送数据
  2. 接收数据->解密数据->投递数据进入处理队列
    读取处理队列->处理数据

一般找切入点是找发送数据去回溯,如果是多线程通信 那么只能找到 读取发送队列这个点
就要监视它的读取和写入情况就能顺利切换到 投递数据进入发送队列这个位置上
        这两个有连接的一个点

接收数据也是同样的道理

应用程序网络通信的常用函数:
        recv send sendto recvfrom WSARecv WSASend
        recv send 多采用多线程通信架构
        WSASend WSARecv 多采用单线程通信架构,并且配合完成端口使用

recv 和 send 是比较老式的函数,容易造成阻塞,这个函数没发送完以前是啥也干不了的
WSASend WSARecv 这两个支持完成端口,那么这两个是支持异步操作的,一般出现了这个就没必要用多线程了

定位铭文发送数据的关键函数

不管是单线程还是多线程,组织数据对我们不是很重要,主要是要找到组织数据到加密数据的这个过程,因为这个地方的数据是我们看得懂的,到了加密以后的数据就看不懂了,发送数据就对我们没有意义。

组织数据是一个统称,在不同的过程都有不同的组织形式,比如跑步室是有跑步的方式,上线有上线的方式没说话是说话的方式,最后统一都会来到这个组织数据的这个地方,然后再统一有一个加密的地方,一般都是明文的。这个地方加密的可能性不高,因为其实加密了也没啥用,到前面又找到了,而且加密了到服务器还得解密,到服务器也不好处理。

那么怎么找到明文的地方呢?,如果是从前面开始,比如聊天,那么就从读取对话框文本内容开始。如果倒着来,那么就从发送数据开始,找到认识的地方就是个头,比如 使用物品就 物品id..
当然最好的方式就是从聊天入手,因为聊天这个接口是可以自己去指定内容的,但是要注意,有的软件里是有两套系统的聊天是一套通信系统,其他操作是一套通信系统,所以也要区分,但有一说一,破解了其中一套再去破解另外一套也是很方便的.

这次就通过聊天系统来找把。。这里面有几个关键信息,发送一个数据包,肯定要给一个数据包的地址,还有数据包长度,所以一般就是个指针指向数据包,还有就是数据包长度这就是比较敏感的信息.

掏出调试工具 

发送这个 断下

往上追了两层 

 

看看esi 

内存窗口并不能看到什么和1111有关的东西,这里可能是已经加密过了 

再往前

 这里就有点像了

 但0不好理解

看eax还是看不到

再往前 

看一眼edx 出现了1111

发送函数是包含了这个数据的,这个数据在这是没发出去,因此改变这个数据会导致发送 出去的数据是会发生变化的  这个数据看一眼是不太好解读,前面那一片可能是记录的数据包

 长度数据倒是那个03

这个地方解读也不是很明确,看看有没有更好的地方

 结构体还是没啥。。

再往前

 这个数据还是没啥变

再往前

 

 还是没啥变化的样子,但我们发现了这个数据来自edi

我们还要看edi是不是来自上级菜单,再往前,

 

这个时候就不能继续往前了不然就去细节组织数据 那边了,我们只是想找通用过程

发现栈里有关键性数据 

 看看这个函数也不是很大。

 edx+2c 是个虚函数

上面那个12A3AB0就是网络类了

刚刚这一步一步分析,过程还是比较长的,

一个字符串传递 那就变成了参数,它的内存空间在栈上,也有可能是局部变量,也在栈上,一路走来,可能有N个函数  A->B->C->D->send  如果B是明文 也就是要找的这个点,那么参数就出现在A函数或者A以前,那么栈里面就一定存在相应的关键信息,所以可以直接看栈,通过栈里的信息来看

 最精确的就这地方 最近的一次出现直接一步到位

前提是有一个明确的确定的消息去用

#A#
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
TCP/IP 网络数据封包和解包
bcbobo21cn的专栏
12-30 4879
这是一个网上的代码;下面列出资料并简略分析代码; TCP/IP 网络数据封包和解包  .   TCP/IP 网络数据以流的方式传输,数据流是由包组成,如何判定接收方收到的包是否是一个完整的包就要在发送时对包进行处理,这就是封包技术,将包处理成包头,包体   包头是包的开始标记,整个包的大小就是包的结束标记。接收方只要按同样的方式解包即可,下面是一个网络服务端和客户端程序代码。
wpe修改充值_WPE修改基础第四课:封包分析教程
weixin_42522389的博客
01-17 6814
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。您需要 登录 才可以下载或查看,没有帐号?立即注册xWPE修改基础第四课:封包分析教程很多刚学习WPE的新人,最喜欢做的事就是拿一个封包,发给我,然后问,静姐,这个封包的代码是什么意思?在这里我要和大家说,这个代码是什么意思,连神仙也不知道,因为同样的代码在这个游戏中是这个意思,在另一个游戏中就表示别的意思,这个没有固定的代码,那么我们做为新...
封包分析工具封包分析工具封包分析工具封包分析工具
07-26
封包分析工具封包分析工具封包分析工具封包分析工具封包分析工具
网络通信封包解析--3
m0_55875295的博客
04-19 775
网络完成端口模型的流程 对于接收数据,如果是recv函数那就是开一个多线程一个while循环不停收数据然后解密数据 在投递数据 进入 处理队列,另外一个线程再通过队列去处理数据 但WSASend 和 WSARecv就不一样了又变成了单线程操作 比如WSASend函数 前面进行的组包,加密再调用这个函数,一调用这个函数马上就结束了,数据并没有发送完成, 发送这个东西是由WSASend和操作系统协作去完成的,如果需要发送失败或者发送成功的消息WSASend会接到通知 (当然是利用回调函数这一类操作),接到.
网络数据包封装过程
u011828411的专栏
03-26 5249
当我们在七层协议最上层,主机A想和其它主机通信, 比如telnet到主机B,各层都为数据打包后再封装上自己能识别的数据标签,现在我们只说四层以 下的通信过程。 1、当一个高层的数据包到达传输层,由于telnet使用TCP协议,传输层将上层传过来的数据不变在封装TCP的包头以便目标主机可以正确解包,继续向下层(网络层)传递。 2、网络层同样不会改变之前的数据包,当然也包括之前封
网络封包分析
dbqz77292的博客
05-06 564
By:wangyz 昨天说了抓包,今天说说网络封包分析 OSI七层 和 网络封包构成 IP头 版本:占4位(bit),指IP协议的版本号。目前的主要版本为IPV4,即第4版本号。 首部长度:占4位(bit),指IP报文头的长度。最大的长度(即4个bit都为1时)为15个长度单位,每个长度单位为4字节(TCP/IP标准,DoubleWor...
WPEPRO网络封包工具
02-03
1. **实时捕获**:WPE Pro可以实时捕获网络流量,包括局域网和互联网上的数据包,帮助用户了解网络通信的细节。 2. **协议解析**:支持多种网络协议的解析,如TCP、UDP、HTTP、FTP等,便于理解数据包的内容和结构。 ...
网络封包拦截修改源码-仿WPE源码
最新发布
06-24
网络封包网络通信的基本单元,包含了发送方和接收方的信息、传输的数据以及控制信息等。在TCP/IP协议栈中,封包分为多个层次,如链路层的Ethernet、网络层的IP、传输层的TCP/UDP等,每个层次都有自己的头部信息,...
Snoop网络封包分析工具.zip_封包_网络封包_网络封包分析
09-24
Snoop网络封包分析工具是一款基于WinPcap库的专业网络数据包捕获和分析软件,它主要用于监控网络通信,帮助用户深入理解网络流量并诊断网络问题。WinPcap是Windows平台下广泛使用的底层网络访问库,它允许应用程序...
WPE封包编辑解析.rar
04-05
2. **封包解析**:捕获到的数据包是二进制格式的,需要解析成人类可读的形式。WPE通常会根据TCP/IP协议栈的层次结构来解析,从物理层的MAC地址到传输层的TCP/UDP端口号,再到应用层的各种协议如HTTP、FTP等。 3. **...
wpe封包拦截分析工具|封包分析|发包和收包分析|脱机辅助制作工具
05-16
这款工具是用于拦截程序的发包和收包,非常的清楚。
易语言WPE封包编辑解析
07-21
易语言WPE封包编辑解析源码,WPE封包编辑解析,Dll入口函数,InstallHook,Hook过程程序,UninstallHook,调用子程序,取模块入口,取模块句柄,指针到整数,指针到短整数,指针到字节型,指针写整数,指针写短整数,指针写字节型,指针写字节集,拷贝内存_汇编,取整数型指针,
网络封包解密综合工具
10-30
工具集成:WPE封包截取工具、PackAssist封包工具、图标截取工具、文本与10进制及16进制互转、文本差异比对
封包加密解密
08-22
封包加密解密;前面我们介绍了最常会被用在封包加密解密算法中的指令.本节开始教大家些入门的知识,如何去分析封包数据. 分析封包数据主要分两方面
封包解密器,封包破解
10-25
封包解密器,用来解异或算法的,很常见的 也很实用 csdn好像有个人发布过 但是分太高了,我这里就便宜点。
易语言WPE封包编辑解析源码
06-03
WPE(Window Packet Editor)最初由SanYe开发,是一款广泛应用于游戏作弊和软件调试的工具,它允许用户捕获网络通信中的数据包,对其进行编辑,然后重新发送,以实现对游戏数据的篡改。在这个特定的资源中,"易语言...
网络通信封包分析--2
m0_55875295的博客
04-19 326
数据包组织与发送过程分析 一般碰到复杂的就不去看,但这个太重要了,得硬着头皮上了,如果遇到是在处理不来的就直接还原成C++代码就能看懂了 首先就是看edi是从哪来的 这个函数是有可能会改变edi的 这里edi已经是可以看作是一个类了,这个数据包可以看作是一个独立的类 往上看看 这个edi是从eax来的 正好是调用了这个edx的函数 edi又来自 12A3AB0 这个是NET类 这个edi是NET类的一个指针 edx是从ebx+24得到的 如果eax和ecx不复杂 ,能看明白..
TCP通信原理及封包问题(详细,案例解析
彼岸花
12-16 7010
TCP大致工作原理介绍:   工作原理 TCP-IP详解卷1第17章中17.2节对TCP服务原理作了一个简明介绍(以下蓝色字体摘自《TCP-IP详解卷1第17章17.2节》): 尽管T C P和U D P都使用相同的网络层(I P),T C P却向应用层提供与UD P完全不同的服务。 TC P提供一种面向连接的、可靠的字节流服务。面向连接意味着两个使用T C P的应用(通常是一个
网络原理——数据包的封装和分用
qq_45036591的博客
12-14 1402
一、数据封装的过程 不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在网络层叫做数据报 (datagram),在链路层叫做帧(frame). 应用数据按照从上到下的顺序依次封装,每到达一层都会被加上该层的首部信息。 许多应用程序都通过TCP或者UDP来传送数据,运输层协议在生成报文首部时都会存入一个程序的标识符。 TCP/UDP将源端口号和目的端口号分别存入TCP/UDP报文...
网络游戏封包基础解析:从外挂到封包原理
"这篇文档介绍了网络游戏封包的基础知识,包括外挂的概念,网络游戏的...理解网络游戏封包的原理对于深入学习计算机网络数据通信以及游戏开发有极大的帮助,但应谨慎对待封包修改,避免在游戏中滥用导致不良后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

#A#

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值