前面说了相同比较,这节我们详细介绍一下:
比较下面两个封包:
封包一:
封包2:
区别是不是很小,其中接收部分是完全一样的,但是发送部分有所区别,这个区别是坐标信息!
这个封包来源:星际争霸游戏中连机对战,时,一个士兵移动一步和再移动一步产生的封包,动作是完全相同的,所以,不应该有太大区别!
下面给出一个在线游戏的封包对比分析:
游戏名称:快打旋风线上版?#123
发一个小火球:你可能得到如下封包:
SEND-> 0000 0A 09 C1 10 00 00 FF 52 44
再发一个小火球,得到的封包可能就变成这样了!
SEND-> 0000 0A 09 C1 10 00 00 66 52 44
为什么两次不同呢?呵呵,这是游戏了,封包是加密的,不是轻易就可以看出来的了!而且,这里的0A可能有它自己的含义了,不是可以查ASCII表可以查到的了,你需要猜它是什么意思了!我们暂时不分析,到分析游戏封包时再分析,这里主要讲对比!
从封包上看,我们两次动作是一样的,因此,得到的封包也还是大致一样的,很相似,区别只在最后几个上,有这样的分析,实际对我们制作滤镜是很有帮助的!如果我们再收集一点其它信息,实际上我们就可以破译这个封包了,如果我们知道这个小火球打到别人身上,伤害值是16,那么我们就可以知道,
16(10)=10(16)
不会看不明白等号了吧?十进制的16等于16进制的10,那么看看 那里有10呢,呵呵,两个封包都有哦,这个就是火球的封包,其中10表示伤害值,如果我们制作一个滤镜,但检测到这个相似的风暴,就自动修改成FF会怎么样呢?
FF(16)=15 X16 +15=255(10)
明白了吗?你的小火球攻击将达到255的伤害,是原来的多少倍哦?
比较是很简单的,有比较就容易辨认,请您自己多分析一些实际例子,相信您很快就会学到这种方法的!这里不多举例子了!