高科技游戏的网络流量逆向工程

Question

因此，我试图通过LAN解构一个相当古老的Halo游戏中服务器-客户端交互传递的消息。我一直在用Wireshark和大包进行测试。尽管我对我应该分析哪种类型的数据感到困惑。在一个全是字符的聊天消息包中，我收到了这样的消息：

fe:fe:00:03:3a:00:11:19:39:1a:28:0d:b9:20:9d:7b:b8:59:52:90:e3:3e:93:7b:b8:59:52:90:e3:3e:93:7b:b8:59:52:90:e3:3e:93: [SNIP]

在一条消息中，除了前3个字母都是'a‘之外，我收到了这样的消息：

fe:fe:00:21:64:00:68:8f:02:6d:5f:ab:a7:cb:d0:78:0f:e9:6d:55:89:13:72:7b:b8:59:52:90:e3:3e:93:7b:b8:59:52:90:e3:3e:93: [SNIP]

现在，我可以在某些阶段(可能是a)看到数据包之间的一些相似之处，我得出的结论是：

7b:b8:59:52:90:e3

可能是'a‘字符。但无法证明这一点。我怎样才能把上面奇怪的字符串变成一个可读的字符，也就是回到'a'？有可能吗？

感谢你审阅这个问题！协议为UDP。

Answer 1

您只需将ollydbg附加到您试图理解的进程，并在WSARecv (或recv) http://msdn.microsoft.com/de-de/library/windows/desktop/ms741688(v=vs.85).aspx处设置断点

也许我的tut会有点帮助，这是另一个游戏，但我认为它应该显示一些想法：http://blog.praty.net/?p=315

Greetz碎片整理程序

Answer 2

通过查看网络转储来猜测协议的效率非常低。我建议使用Hex-Rays Decompiler等现代工具对游戏片段进行反编译，然后将网络模块中使用的数据结构知识与使用OllyDbg调试实时应用程序相结合。