NetXray使用说明之(6)----捕捉oicq message报文

scz 于 00-5-9 下午 12:17:39 加贴在 灌水乐园：

标题：NetXray使用说明之(6)----捕捉oicq message报文

NetXray发包前可以在decode状态下编辑，sniffer pro 2.6却不象NetXray那样
善解人意，只能进行二进制编辑。sniffer pro的Add Pattern里的TAB键极其混
帐，并且这里也不提供decode支持。始终不能理解这些地方。不过破解版的
NetXray在decode时有些地方对不准，菜单window也不时失灵。

暂略(回头补吧，没时间了)

今天讲讲oicq message报文的捕捉。

1. 首先设置进行IP/UDP报文过滤，IP/TCP暂时就不必了，因为oicq message报文多
   是IP/UDP报文，我还没有看到过IP/TCP，应该是没有的。

2. 根据需要在Address/IP Include里设置通信双方的IP，假设我们需要捕获所有与
   本机oicq.exe通信的oicq message报文，设置成 myIp <----> Any

3. 进入Data Pattern设置页，用<< NetXray使用说明之(2) >>里的办法指定
   ( ( srcPort == 4000 ) && ( dstPort != 8000 ) )
   ||
   ( ( srcPort != 8000 ) && ( dstPort == 4000 ) )

   第一条的意思是本机向别人发消息，第二条是别人向本机发消息࿰