前面说了相同比较,这节我们详细介绍一下不同比较:
相同比较是为了在相同的封包中找不同点,以便于找到封包的本质内容,那么不同比较呢,就是相反的,是在不同封包中找相同点,以便找到封包的核心内容!
举个离子:如果你想知道卖东西的封包有什么特点,那么你只卖血瓶是不够的,你该卖掉其他东西,比如卖魔法药,卖了小血瓶,买中型血瓶,然后卖大型血瓶,共同点是都是卖,不同点是卖的东西不同,我们可以利用他们的封包中不同中的相同来找到卖东西的封包的共同点,从而为我们所用!
援用前面的例子:
我们利用IE(什么,你又不知道IE是什么了?我到,就是Internet Exproler,前面早说过了),先请求地址http://www.ff.com,得到的封包如下:
然后请求地址:http://www.ee.com得到如下封包:
我们有理由详细:请求地址的第一步操作都是这样的了,发送的封包都应该是这样的了!区别都只在于WWW和COM之间的部分有区别,那么我们可以对以后所有请求地址的操作进行控制,例如:我们可以控制其中关键代码,就是把其中的“ff”换成我们希望的内容,以后无论是谁请求任何地址,它打开的总是我们设定的地址,其他地址都打不开了!呵呵,用这个是不是有点烂哦?说者无意,听者有心,别乱用哦,我不是教你去整人的,给别人方便给自己方便哦!
我们继续相同比较,这节我们用暗黑来比较,大家大都玩过暗黑吧?这里我们给大家一个卖物品的封包,注意单机版的不存在封包,要连机打或者上战网才有封包的!截取封包的过程如下:
首先启动程序:
然后启动WPE:
选择游戏名称:game.exe
开始接收封包:卖掉一个活力后得到的封包
卖掉一瓶血的封包如下!
这里难度稍微大一些,分析时要多加注意了
首先,我们注意,第二个封包和第一个封包有相同的地方,怎么看呢?
从第二个封包的第三行开始和第一个比较,是不是?
这个时候不要看WPE右边的分析了,全是错的!
如果要进一步分析,就要知道相关信息了,我们知道一个活力卖掉的价格是200,
200(10)=C8(10)
看到第一个里面的C8了吗?呵呵,明白了吧,继续分析就留给你了!如果你要进行相同比较,这里个出再卖一个活力的封包