二：什么是封包？

　　怎么截獲一個游戲的封包？怎么去檢查游戲服務器的ip地址和端口號？Internet用戶使用的各種信息服務，其通訊的信息最終均可以歸結為以IP包為單位的信息傳送，IP包除了包括要傳送的數據信息外，還包含有信息要發送到的目的IP地址、信息發送的源IP地址、以及一些相關的控制信息。當一臺路由器收到一個IP數據包時，它將根據數據包中的目的IP地址項查找路由表，根據查找的結果將此IP數據包送往對應端口。下一臺IP路由器收到此數據包后繼續轉發，直至發到目的地。路由器之間可以通過路由協議來進行路由信息的交換，從而更新路由表。

　　那么我們所關心的內容只是IP包中的數據信息，我們可以使用許多監聽網絡的工具來截獲客戶端與服務器之間的交換數據，下面就向你介紹其中的一種工具：WPE。

　　WPE使用方法：執行WPE會有下列幾項功能可選擇：

　　SELECT GAME選擇目前在記憶體中您想攔截的程式，您只需雙擊該程式名稱即可。

　　TRACE追蹤功能。用來追蹤擷取程式送收的封包。WPE必須先完成點選欲追蹤的程式名稱，才可以使用此項目。按下Play鍵開始擷取程式收送的封包。您可以隨時按下| |暫停追蹤，想繼續時請再按下| |。按下正方形可以停止擷取封包并且顯示所有已擷取封包內容。若您沒按下正方形停止鍵，追蹤的動作將依照OPTION里的設定值自動停止。如果您沒有擷取到資料，試試將OPTION里調整為Winsock Version 2。WPE及Trainers是設定在顯示至少16 bits顏色下才可執行。

　　FILTER過濾功能。用來分析所擷取到的封包，并且予以修改。

　　SEND PACKET送出封包功能。能夠讓您送出假造的封包。

　　TRAINER MAKER制作修改器。

　　OPTIONS設定功能。讓您調整WPE的一些設定值。

　　FILTER的詳細教學

　　-當FILTER在啟動狀態時，ON的按鈕會呈現紅色。-當您啟動FILTER時，您隨時可以關閉這個視窗。FILTER將會保留在原來的狀態，直到您再按一次on / off鈕。-只有FILTER啟用鈕在OFF的狀態下，才可以勾選Filter前的方框來編輯修改。-當您想編輯某個Filter，只要雙擊該Filter的名字即可。

　　NORMAL MODE：

　　范例：

　　當您在Street Fighter Online﹝快打旋風線上版﹞游戲中，您使用了兩次火球而且擊中了對方，這時您會擷取到以下的封包：             SEND-> 0000 08 14 21 06 01 04 
  SEND-> 0000 02 09 87 00 67 FF A4 AA 11 22 00 00 00 00 
  SEND-> 0000 03 84 11 09 11 09 
  SEND-> 0000 0A 09 C1 10 00 00 FF 52 44  
  SEND-> 0000 0A 09 C1 10 00 00 66 52 44 

　　您的第一個火球讓對方減了16滴﹝16 = 10h﹞的生命值，而您觀察到第4跟第5個封包的位置4有10h的值出現，應該就是這里了。

　　您觀察10h前的0A 09 C1在兩個封包中都沒改變，可見得這3個數值是發出火球的關鍵。

　　因此您將0A 09 C1 10填在搜尋列﹝SEARCH﹞，然后在修改列﹝MODIFY﹞的位置4填上FF。如此一來，當您再度發出火球時，FF會取代之前的10，也就是攻擊力為255的火球了！

　　ADVANCED MODE：

　　范例：當您在一個游戲中，您不想要用真實姓名，您想用修改過的假名傳送給對方。在您使用TRACE后，您會發現有些封包里面有您的名字出現。假設您的名字是Shadow，換算成16進位則是﹝53 68 61 64 6F 77﹞；而您打算用moon﹝6D 6F 6F 6E 20 20﹞來取代他。1) 
SEND-> 0000 08 14 21 06 01 04 
SEND-> 0000 01 06 99 53 68 61 64 6F 77 00 01 05 
SEND-> 0000 03 84 11 09 11 09
SEND-> 0000 0A 09 C1 10 00 53 68 61 64 6F 77 00 11 
SEND-> 0000 0A 09 C1 10 00 00 66 52 44 

　　但是您仔細看，您的名字在每個封包中并不是出現在相同的位置上

　　-在第2個封包里，名字是出現在第4個位置上-在第4個封包里，名字是出現在第6個位置上

　　在這種情況下，您就需要使用ADVANCED MODE-您在搜尋列﹝SEARCH﹞填上：53 68 61 64 6F 77﹝請務必從位置1開始填﹞-您想要從原來名字Shadow的第一個字母開始置換新名字，因此您要選擇從數值被發現的位置開始替代連續數值﹝from the position of the chain found﹞。-現在，在修改列﹝MODIFY﹞000的位置填上：6D 6F 6F 6E 20 20﹝此為相對應位置，也就是從原來搜尋欄的+001位置開始遞換﹞-如果您想從封包的第一個位置就修改數值，請選擇﹝from the beginning of the packet﹞

　　了解一點TCP/IP協議常識的人都知道，互聯網是將信息數據打包之后再傳送出去的。每個數據包分為頭部信息和數據信息兩部分。頭部信息包括數據包的發送地址和到達地址等。數據信息包括我們在游戲中相關操作的各項信息。那么在做截獲封包的過程之前我們先要知道游戲服務器的IP地址和端口號等各種信息，實際上最簡單的是看看我們游戲目錄下，是否有一個SERVER.INI的配置文件，這個文件里你可以查看到個游戲服務器的IP地址，比如金庸群俠傳就是如此，那么除了這個我們還可以在DOS下使用NETSTAT這個命令，

　　NETSTAT命令的功能是顯示網絡連接、路由表和網絡接口信息，可以讓用戶得知目前都有哪些網絡連接正在運作。或者你可以使用木馬客星等工具來查看網絡連接。工具是很多的，看你喜歡用哪一種了。

　　NETSTAT命令的一般格式為：NETSTAT [選項] 

　　命令中各選項的含義如下：-a顯示所有socket，包括正在監聽的。-c每隔1秒就重新顯示一遍，直到用戶中斷它。-i顯示所有網絡接口的信息。-n以網絡IP地址代替名稱，顯示出網絡連接情形。-r顯示核心路由表，格式同"route -e"。-t顯示TCP協議的連接情況。-u顯示UDP協議的連接情況。-v顯示正在進行的工作。