游戏封包反跟踪（NP）浅析

   本文仅涉及封包反跟踪


在讲述游戏封包反跟踪原理之前我们首先需要对函数HOOK原理有深入了解

　　我们知道函数HOOK原理主要通过二个途径截获封包数据的，一个是将跳转下在PE文件的被跟踪的输入表项中，一个是将跳转下在被跟踪的函数体中。

　　游戏封包反跟踪（NP）程序是基于上述原理而实施反跟踪的，按反跟踪的实现不同，相应可分为：
　　一、将PE中用于查找指定函数的相关帮助信息删除
　　二、不断判断输入表中相关函数项的跳转地址
　　三、不断判断被反跟踪函数体代码的情况
　　上述三点中，前二点是基于函数HOOK原理的第一种情况的，第三点是基于函数HOOK原理的第二种情况的。
　　
　　游戏封包反跟踪（NP）为了不让用户轻易将反跟踪程序去消，其实现的往往是采用某种动态算法，并与游戏服务器相通信。

　　我们如果想去消游戏封包反跟踪（NP）程序的反跟踪，那么必须对反跟踪代码的行为进行分析，找出算法后，我们就可以仿照它的行为而实施我们的模拟反跟踪。

　　反跟踪（NP）一旦去消，我们又可以用HOOK原理来实施我们对封包信息的截获工作了。当然纯粹为了跟踪封包，我们其实并不需要去对付反跟踪，因为我们还有很多其他途径来实施封包的跟踪，而在这些途径中有些原理本身就是无法被反跟踪的。

　　如何查找反跟踪程序，其实十分的简单，我们知道在进行判断之前，被判断的内存数据必须会被读取，因此我们只要给被分析代码所在的内存下一个读断点就行，然后用运行跟踪即可找到反跟踪代码段。
> >