BlogJava-Phrancol's blog

[原]基于服务的网络应用平台结构构想

Phrancol Yang — Sun, 02 Nov 2008 08:35:00 GMT

前言

便携是一种趋势

网络服务是一种趋势

触摸屏的发展是一种趋势

..............

这些趋势发展到一定阶段就是在电影里看到的，一个电脑就是一个屏幕，而这些离我们并不远。

它是什么

有这样一种服务，只要你是它的终端，你可以用它做很多事情，例如：
电脑，开机，进入一个数M程序的终端，当然这是一个服务终端，加载所需要的服务。
我需要浏览器，只需要 install xxx://www.servicegate.com/browser，然后start，一个浏览器界面就出来了，
我需要编辑word文档，google提供了这个功能。
我需要上QQ，install xxx://www.qq.com/qqservice，然后start，QQ界面出来了
我需要玩魔兽，没问题，只要暴雪提供了该服务，我们只需要一个install命令，就可以玩了。

这是一个全新的应用系统，它的一切都建立在网络的基础上，所有资源均来自网络服务提供商，这看起来像云计算，或是SaaS，没错，但是不管它像什么，它的目的只有一个，就是提供一个更安全，更方便，更快捷的应用平台。

它的操作就像你平时使用的操作系统一样，你甚至无法感觉到它的存在，因为在你开机的瞬间你就已经在使用它了。

它有什么好处

免费——它是免费的，你不需要为它支付任何费用就可以使用它
安全——在服务终端中（注意，它不是操作系统），它几乎取消了硬盘的概念，数据全部存储在你信任的服务供应商中，因此你不必为病毒或木马而发愁，当然也不需要买杀毒软件了。
快捷——不再花费大量的时间查看安装进度，然后再安装大量的驱动。
便携——就像你插入一个U盘，或是放入一个光盘，只要有网络的地方，你就可以使用它。
服务——你不再需要下载，安装等繁琐的操作，这一切都由服务中心来完成。

网络环境结构图

网络通信结构图

     1.   分布式MVC（N层）网络结构——可以理解为分布式C/S应用，最容易理解的例子就是网络游戏，客户端只负责接收和响应输入设备，服务器处理具体的业务逻辑和数据存储。
2.   通信协议——这就有点像HTTP了，但是它必须要比HTTP更强大才行，因为它需要更迅速的传输和响应，以及更复杂的通信内容和指令，当然这并不难办到。
3.   终端——它只负责根据服务的指令显示相应的内容，或者它只是一个服务的“镜头”。
4.   数据中心——可以理解为“云”。

终端结构图

     1.   boot——引导程序，加载终端的微内核
2.   设备驱动——基础驱动程序，在目前的机器结构中，这3个驱动是需要的，而理论上，它们应该集成在硬件芯片中，即设备统一驱动程序，换句话说，不管是鼠标，键盘，触摸，光电感应等输入设备，它们的驱动应该是统一的，因为它们只是用于输入而已，同理，网络设备和显示设备也一样。
3.   微内核——与Linux的内核机制相仿，只不过它应该是微型的，在应用层面，它可能只包含3个部分：用于加载管理服务的模块，用于实现通信协议的模块，用于显示的模块。
4.   服务加载模块——管理来自网络的服务，包括加载，卸载，启动等。
5.   View-SDK——来自网络的服务如何显示，就是由它来决定，可以把它想象成一个浏览器，但是它需要比浏览器更强大，从而引导通信协议的制定。这里的View-SDK目前还比较模糊，不能将它看成普通的SDK，它有可能只是类似于IE，或是实实在在的类似于可视化开发工具的界面，这里，先不确定它的细节问题，只要知道它是个能显示的东东就可以了。

示例

案例一、Eclipse

对于Eclipse，大家都比较熟悉了，如果要将它用于该平台，与现有平台有何区别。

终端部分：只有一个显示框体，他是基于终端的View-SDK的（之前有提到View-SDK，这里有个误区就是，把它想象成现有的Eclipse），没有代码，没有插件，甚至没有供它运行的文件（看起来像IE了，或是一个远程控制）。

数据中心：代码，插件等业务逻辑和数据存储都在这里了。

如何运作

终端通过新的通信协议向数据中心发出指令，由数据中心来决定终端的显示，通过指令或是其它方式。

问题

以上3个结构图，只是对这个平台的一个方向上的构想，在这个平台中，会包含以下问题：

1. 微内核的技术构成，结构是否合理，通过现有技术是否可以实现它，或者它与现有技术是否有冲突，并能否解决这个冲突。

2. View-SDK的技术构成，是否能够以最少的代码实现，并且实现之后，还可以称之为微。

3. 通信协议的制定，这是依赖于View-SDK和服务器端技术结构的，因为它们都是全新的。

4. 其它，包括与现有的网络技术，软硬件技术的冲突，包括P2P和现有的网络协议等等。

Phrancol Yang 2008-11-02 16:35 发表评论

[原]不能被“微软”——云计算

Phrancol Yang — Mon, 27 Oct 2008 03:20:00 GMT

同学的一次讨论中曾提到，以后的计算机只需要一个触摸屏显示器，和一个无线网络信号，其它所有东西都由网络提供。

“微软”当然并不是真正的微软，“云计算”当然也不是真正的云计算。

或许有这样一种服务，只要你是它的终端，你可以用它做很多事情，例如：
我的电脑，开机，进入一个数M程序的终端，当然这是一个服务终端，类似OSGi，加载所需要的服务。
我需要浏览器，只需要 install http://www.servicegate.com/browser ，然后start，一个浏览器界面就出来了，
我需要编辑word文档，google提供了这个功能。
我需要上QQ，install http://www.qq.com/qqservice ，然后start，QQ界面出来了
我需要玩魔兽，这个暂时没办法
我需要网银功能，这个当然也没办法，因为现在还在被“微软”。

以上内容当然只是一个假想，我猜windows也是由某个假想产生的，那么如何实现它？

一个引导程序，由它来启动服务终端
一个网卡驱动
一个显示设备驱动
一个输入设备驱动
一个服务终端程序，这个程序怎么写，可以用汇编写，可以用C写，甚至可以把Equinox改改放进去，只要它能被引导程序启动并运行
3个驱动感觉就是鸡肋。
这些都做出来之后，剩下的就是服务提供商的事了。
当然这些只是一个大概的框架，只是考虑一下可行性。

这看上去有难度啊。不在其职，是觉得挺难的，比如我就觉得有难度。
假如番茄花园的哥们是我朋友，我有朋友精通驱动程序，我自己写这个终端程序，再找李开复商量一下，说不定我就不用再被“微软”了。

Phrancol Yang 2008-10-27 11:20 发表评论

[原]角色AI动作调度器

Phrancol Yang — Sun, 06 Jul 2008 10:05:00 GMT

摘要: 人物角色有多种动作：上马，下马，走，跑，物理攻击，魔法攻击，施放魔法，交易 .....等等每个动作间隔为600毫秒，任务有可能会执行失败。 /** *//** * 角色动作调度器 * @author Donf Yang */ public final class ... 阅读全文

Phrancol Yang 2008-07-06 18:05 发表评论

[原]JAVA版传奇3G辅助程序[开源]

Phrancol Yang — Sun, 29 Jun 2008 09:53:00 GMT

请至 http://code.google.com/p/mir3ganywhere/ 获取源码

2008-07-06:
完善动作调度器 [角色AI动作调度器 ]http://www.blogjava.net/Phrancol/articles/212889.html
2008-07-08:
完成物理攻击动作，如果目标不在身边则不攻击。
添加角色动作控制接口，角色动作观察接口，更新于[角色AI动作调度器]
2008-07-13:
优化移动到目的地和靠近目的地的动作，优化动作调度器。
完成拾取东西的动作
2008-07-19:
动作调度器小改动：移动动作的间隔为600毫秒，攻击动作的间隔为1000毫秒
实现了Hero和AroundPerson的HP变化，增加事件通知。
2008-07-27:
1. 优化动作调度器和动作监听器，现在可以将多个动作合成一个ActionMission来调度，例如拾取一个物品可以包含以下Action
Action1 - 移动到物品所在坐标
Action2 - 下马
Action3 - 发送拾取命令
Action4 - 上马
2. 实现NPC对话和出售物品的Dialog，现在可以使用六面神石进行移动，可以向NPC出售物品

-----------------------------------------------------------------------------------------------------------------

2008-07-29:
1. 优化角色AI动作调度器，重构游戏地图对象，所有业务对象共享同一个地图对象
2. 设计自动挂机接口，实现自动寻找离自己最近的怪物
3. 自动挂机流程设计，将挂机流程分解为多个可观察对象（可观察对象是可以被中断的）

2008-08-04:
1. 重新设计靠近坐标和到达坐标的算法
2. 重新设计AI动作实现，可以嵌套AI动作，例如调度移动动作，可以嵌套进调度攻击目标的动作（先移动靠近目标），攻击目标的动作，可以嵌套进机器人动作。
3. 设计拾取物品，攻击目标AI动作，可以自动判断是否需要跑到物品坐标，判断判断需要下马，拾取物品；可以追着某个目标一直攻击，直到目标消失或死亡。
4. 考虑遗传算法在自动挂机中的应用。

2008-08-11:
1. 完成自动练功（自动巡逻，遇怪攻击，遇物品拾取）算法。

2008-08-12:
1. 优化了自动挂机算法，优化寻路算法，目前自动挂机比较流畅

2008-08-13:
1. 完成自动挂机设置：攻击怪物优先级设置，拾取物品优先级设置，挂机地图设置
2. 完成地图NPC坐标加载
3. 完成丢掉背包中的物品

2008-08-14:
1. 完成地图寻路算法
2. 完成自动挂机中回城补给时自动跑向NPC出售物品。
3. 数字图片验证码识别，已经找到数字路径，正在考虑路径匹配数字算法。

2008-08-24:
1. 优化了地图寻路的算法，比较完善

11:12:23,619 DEBUG - 准备生成路线，源地图[比奇县]，目标地图[潘夜神殿]
11:12:23,635 DEBUG - 查找路线用时 - 16
11:12:23,635 DEBUG - 第1步：从比奇县的六面神石[138,261]传送到 [沙巴克]
11:12:23,635 DEBUG - 第2步：从地图[沙巴克]的 [318,258]过图到 [潘夜神殿1层]
11:12:23,635 DEBUG - 第3步：从地图[潘夜神殿1层]的 [149,158]过图到 [潘夜神殿2层]
11:12:23,635 DEBUG - 第4步：从地图[潘夜神殿2层]的 [255,254]过图到 [潘夜神殿3层西部]
11:12:23,666 DEBUG - 第5步：从潘夜神殿3层西部的六面神石[199,257]传送到 [潘夜神殿大厅]
11:12:23,666 DEBUG - 第6步：从地图[潘夜神殿大厅]的 [25,22]过图到 [潘夜神殿4层B]
11:12:23,666 DEBUG - 第7步：从地图[潘夜神殿4层B]的 [111,112]过图到 [潘夜神殿5层B]
11:12:23,666 DEBUG - 第8步：从地图[潘夜神殿5层B]的 [373,378]过图到 [潘夜神殿6层]
11:12:23,666 DEBUG - 第9步：从地图[潘夜神殿6层]的 [38,373]过图到 [潘夜神殿7层东部]
11:12:23,666 DEBUG - 第10步：从地图[潘夜神殿7层东部]的 [25,30]过图到 [潘夜神殿8层]
11:12:23,666 DEBUG - 第11步：从地图[潘夜神殿8层]的 [200,199]过图到 [潘夜神殿]

2. 实现挂机中自动回到补给城市，自动修卖装备，补给完成后，自动回到练功地图挂机

2008-08-28:
1. 修正了刀刀刺杀，攻杀
2. 修正了周围玩家名字的显示
3. 优化了自动挂机部分算法
2008-08-31:
1. 优化了自动挂机算法，目前挂机效率比较高
2. 修正了一些BUG，增加了购买物品功能

Phrancol Yang 2008-06-29 17:53 发表评论

[原]Eclipse产品应用——控制台的使用

Phrancol Yang — Tue, 10 Jun 2008 03:20:00 GMT

摘要: 在开发一个基于Eclipse的产品应用中，类似于Eclipse控制台的小部件是必不可少的，例如： 1. 开发过程中需要一个控制台来专门输出调试信息，而在产品发布后却不需要 2. 需要一个控制台用于输出系统信息 3. 需要一个控制台用于输出普通消息先定义个简单的接口MConsole public interface MConsole { &... 阅读全文

Phrancol Yang 2008-06-10 11:20 发表评论

[原]MIR3G反汇编分析（一）——命令体二次解密

Phrancol Yang — Sat, 07 Jun 2008 08:06:00 GMT

服务器每次发来的密文，类似于
#eLrBHMNxRmleJ_l{PAMHQ?pUCpdbENaJptK!
命令体部分经过普通解密后，还需要根据一个掩码来进行二次解密

这里是二次解密命令体的部分
push    ebp
mov     ebp, esp
and     esp, FFFFFFF8
push    -1
push    004C833C
mov     eax, dword ptr fs:[0]
push    eax
mov     dword ptr fs:[0], esp
push    ecx
mov     eax, 549C
call    004BC0B0
push    ebx
push    esi
push    edi
mov     edi, dword ptr [ebp+8]
cmp     byte ptr [edi], 2B                    <------判断第一个字节是否为 +
mov     ebx, ecx
jnz L029
inc     edi
push    edi
call    0042B0D0
mov     ecx, dword ptr [esp+54AC]
mov     dword ptr fs:[0], ecx
pop     edi
pop     esi
pop     ebx
mov     esp, ebp
pop     ebp
retn    4
L029:
push    edi     <-----   密文
lea     eax, dword ptr [esp+3C]
push    eax   <------ 密文解密后被保存在这里
call    004A0CE0
mov     cx, word ptr [ebx+49B162]
xor     word ptr [esp+3C], cx
xor     edx, edx
mov     dh, byte ptr [esp+43]
mov     cl, byte ptr [ebx+49B161]
xor     eax, eax
mov     ah, byte ptr [esp+3F]
mov     dl, byte ptr [esp+41]
mov     al, byte ptr [esp+3D]
shl     edx, 10
or      edx, eax
mov     al, byte ptr [ebx+49B160]
mov     esi, edx
xor     cl, byte ptr [esp+3C]
xor     edx, edx
mov     dh, cl
xor     al, byte ptr [esp+38]
mov     dword ptr [esp+1C], esi
mov     dl, al
mov     eax, dword ptr [esp+38]
shr     eax, 10
mov     cx, dx
movzx   dx, byte ptr [esp+39]
mov     dh, byte ptr [esp+3E]
mov     word ptr [esp+20], cx
mov     word ptr [esp+22], dx
xor     edx, edx
mov     dh, byte ptr [esp+40]
mov     dl, al
movzx   ax, ah
mov     ah, byte ptr [esp+42]
mov     word ptr [esp+24], dx
mov     word ptr [esp+26], ax
movzx   eax, cx
add     eax, -138A
cmp     eax, 123
ja      0043BF9D
movzx   ecx, byte ptr [eax+43C220]
jmp     dword ptr [ecx*4+43BFB4]

在 MIR3G二次加解密反汇编分析（三）——跟踪中有4个赋值
mov     byte ptr [ebx+49B160], al
mov     byte ptr [ebx+49B161], ah
mov     word ptr [ebx+49B162], ax
mov     word ptr [ebx+49B164], ax
这就是命令体二次解密时的掩码

从一次解密的消息体中提取掩码的部分
sub     eax, edx
cmp     eax, 3C                     ;判断消息体长度是否为60
jnz     0043BF9D
mov     ecx, dword ptr [esp+CA8]      esp+CA8保存的就是经过一次解密的消息体（不包含命令体）
mov     edx, dword ptr [esp+CAC]
mov     eax, dword ptr [esp+CB0]
mov     dword ptr [esp+38], ecx
mov     ecx, dword ptr [esp+CB4]
mov     dword ptr [esp+44], ecx
mov     ecx, dword ptr [esp+CC0]
mov     dword ptr [esp+3C], edx
mov     edx, dword ptr [esp+CB8]
mov     dword ptr [esp+40], eax
mov     eax, dword ptr [esp+CBC]
mov     dword ptr [esp+54], ecx
mov     ecx, dword ptr [esp+CCC]
mov     dword ptr [esp+48], edx
mov     edx, dword ptr [esp+CC4]
mov     dword ptr [esp+50], eax
mov     eax, dword ptr [esp+CC8]
mov     dword ptr [esp+60], ecx
mov     ecx, dword ptr [esp+CD8]
mov     dword ptr [esp+58], edx
mov     edx, dword ptr [esp+CD0]
mov     dword ptr [esp+5C], eax
mov     eax, dword ptr [esp+CD4]
mov     dword ptr [esp+24], ecx
lea     ecx, dword ptr [esp+1C]
mov     dword ptr [esp+1C], edx          ;最后20个字节
mov     edx, dword ptr [esp+CDC]
mov     dword ptr [esp+20], eax
mov     eax, dword ptr [esp+CE0]
push    ecx
mov     ecx, ebx
mov     byte ptr [esp+50], 0
mov     byte ptr [esp+68], 0
mov     dword ptr [esp+2C], edx
mov     dword ptr [esp+30], eax
mov     byte ptr [esp+34], 0
call    0042BD60
lea     edx, dword ptr [esp+38]           前20个字节
push    edx
mov     ecx, ebx
mov     byte ptr [ebx+49B160], al
mov     byte ptr [ebx+49B161], ah
call    0042BD60
mov     word ptr [ebx+49B162], ax
lea     eax, dword ptr [esp+50]
push    eax
mov     ecx, ebx
call    0042BD60
mov     word ptr [ebx+49B164], ax

提取掩码的函数 0042BD60
push    ebx
push    esi
mov     esi, dword ptr [esp+C] esi = arg1    ;消息体
mov     eax, esi                eax = arg1
xor     ebx, ebx                ebx = 0
lea     edx, dword ptr [eax+1] edx = arg+1 ，从第二个字节开始
lea     ecx, dword ptr [ecx]
L007:
mov     cl, byte ptr [eax]
inc     eax
test    cl, cl
jnz L007
sub     eax, edx
cmp     eax, 14               检查参数长度是否是20
jnb L018
pop     esi
xor     ax, ax
pop     ebx
retn    4
L018:
mov     eax, 2                ;eax =2
lea     edx, dword ptr [esi+1] ;edx指向第二个字节 edx = 1
push    edi
L022:
mov     cl, byte ptr [edx-1]   ;cl = arg[edx-1]
movzx   esi, byte ptr [edx+8] ;esi = ((long)(arg[edx+8]))
movzx   ecx, cl                ;ecx = ((long)cl)
add     esi, ecx               ;esi = esi+ecx
movzx   ecx, byte ptr [edx]    ;ecx = (long)arg[edx]
cmp     ecx, esi               ;if(ecx < esi) 跳转到 L033
jl L033
lea     ecx, dword ptr [eax-2] ; ecx = eax-2
mov     edi, 8000              ; edi = 0x8000
sar     edi, cl                ; edi = edi >> cl
or      ebx, edi               ; ebx = ebx | edi
L033:
movzx   ecx, byte ptr [edx+1] ;ecx = (long)arg[edx+1]
cmp     ecx, esi                ;if(ecx jl L040
lea     ecx, dword ptr [eax-1] ;ecx = eax-2
mov     edi, 8000              ;edi = 0x8000
sar     edi, cl                ;edi = edi >> arg[eax-1]
or      ebx, edi               ;ebx = ebx | edi
L040:
movzx   ecx, byte ptr [edx+2] ;ecx = (long)arg[edx+2]
cmp     ecx, esi               ;if(ecx < esi) 跳转到 L047
jl L047
mov     edi, 8000              ;edi = 0x8000
mov     ecx, eax               ;ecx = eax
sar     edi, cl                ;edi = edi >> cl
or      ebx, edi               ;ebx = ebx | edi
L047:
movzx   ecx, byte ptr [edx+3] ;ecx = (long)arg[edx+3]
cmp     ecx, esi               ; if(ecx < esi) 跳转到 L054
jl L054
lea     ecx, dword ptr [eax+1] ;ecx = eax+1
mov     edi, 8000              ;edi = 0x8000
sar     edi, cl                ;edi = edi >> cl
or      ebx, edi               ;ebx = ebx | edi
L054:
movzx   ecx, byte ptr [edx+4] ;ecx = (long)arg[edx+4]
cmp     ecx, esi               ; if(ecx < esi) 跳转到 L061
jl L061
lea     ecx, dword ptr [eax+2] ;ecx = eax+2
mov     edi, 8000              ;edi = 0x8000
sar     edi, cl                ;edi = edi >> cl
or      ebx, edi               ;ebx = ebx | edi
L061:
movzx   ecx, byte ptr [edx+5]   ;ecx = (long)arg[edx+5]
cmp     ecx, esi                 ; if(ecx < esi) 跳转到 L068
jl L068
lea     ecx, dword ptr [eax+3] ;ecx = eax+3
mov     edi, 8000              ;edi = 0x8000
sar     edi, cl                ;edi = edi >> cl
or      ebx, edi               ;ebx = ebx | edi
L068:
movzx   ecx, byte ptr [edx+6] ;ecx = (long)arg[edx+6]
cmp     ecx, esi               ; if(ecx < esi) 跳转到 L075
jl L075
lea     ecx, dword ptr [eax+4] ;ecx = eax+4
mov     edi, 8000              ;edi = 0x8000
sar     edi, cl                ;edi = edi >> cl
or      ebx, edi               ;ebx = ebx | edi
L075:
movzx   ecx, byte ptr [edx+7]   ;ecx = (long)arg[edx+7]
cmp     ecx, esi               ; if(ecx < esi) 跳转到 L082
jl L082
lea     ecx, dword ptr [eax+5] ;ecx = eax+5
mov     esi, 8000              ;edi = 0x8000
sar     esi, cl                ;edi = edi >> cl
or      ebx, esi               ;ebx = ebx | edi
L082:
add     eax, 8              ;eax = eax+8
add     edx, 0A             ;edx = edx+0x0A
cmp     eax, 0A             ;if(eax <= 0X0A) 跳转到 L022
jle L022
movzx   edx, bl             ;edx = (long)bl   低8位0扩展
movzx   eax, bh             ;eax = (long)bh   高8位0扩展
pop     edi                 ;
xor     edx, 87             ;edx = edx ^ 0x87
xor     eax, 87             ;eax = eax ^ 0x87
shl     edx, 8              ;edx << 8
pop     esi
or      eax, edx            ;eax = eax | edx
pop     ebx
retn    4

至此，消息的加解密部分已经全部还原

Phrancol Yang 2008-06-07 16:06 发表评论

[原]MIR3G二次加解密反汇编分析（四）——还原

Phrancol Yang — Sat, 07 Jun 2008 02:20:00 GMT

摘要: 在上一篇的跟踪中，调试后发现二次加密的密匙其实就是一个常量008B480C，分析一下整个二次加密的过程，以下代码均在VC6.0中运行通过，加密后数据与客户端实际发送数据一致。函数1 - _declspec(naked) void _stdcall getEncryptMsg(long *nIdentity, char * dest) nIdentity - 008B480C ... 阅读全文

Phrancol Yang 2008-06-07 10:20 发表评论

[原]MIR3G二次加解密反汇编分析（三）——跟踪

Phrancol Yang — Sun, 01 Jun 2008 12:12:00 GMT

根据3EF找到生成命令体的函数，该函数只有一个参数——消息体，转到上一个函数得到以下代码

push    1FFF           ;1FFF入栈
lea     eax, dword ptr [esp+CAC] ;(3244) 距离栈顶811个存储单元
push    eax            ;eax入栈解密后要存入的地址入栈
add     edi, 10        ;edi=从字符串第17个字节开始往后的串
push    edi            ;密文入栈
call    004A0BD0       ;跟进发现这是普通的一次解密，解密后数据存在esp+CAC里
mov     byte ptr [esp+eax+CA8], 0
xor     eax, eax
mov     ecx, 100       ;ecx=100 (256) 循环次数
lea     edi, dword ptr [esp+3F8]   ;edi
rep     stos dword ptr es:[edi]    ;
lea     ecx, dword ptr [esp+3F8]
push    ecx
lea     edx, dword ptr [ebx+3CD864]
push    edx
mov     ecx, ebx
call    0042C440                   ;二次解密，生成回复密文
lea     eax, dword ptr [esp+3F8]
push    eax
mov     ecx, 004D5C70
call    0049F770        ;调用messageSend(char* msg)
lea     eax, dword ptr [esp+CA8]
lea     edx, dword ptr [eax+1]
L023:
mov     cl, byte ptr [eax]
inc     eax
test    cl, cl
jnz L023
sub     eax, edx
cmp     eax, 3C
jnz     0043BF9D
mov     ecx, dword ptr [esp+CA8]
mov     edx, dword ptr [esp+CAC]
mov     eax, dword ptr [esp+CB0]
mov     dword ptr [esp+38], ecx
mov     ecx, dword ptr [esp+CB4]
mov     dword ptr [esp+44], ecx
mov     ecx, dword ptr [esp+CC0]
mov     dword ptr [esp+3C], edx
mov     edx, dword ptr [esp+CB8]
mov     dword ptr [esp+40], eax
mov     eax, dword ptr [esp+CBC]
mov     dword ptr [esp+54], ecx
mov     ecx, dword ptr [esp+CCC]
mov     dword ptr [esp+48], edx
mov     edx, dword ptr [esp+CC4]
mov     dword ptr [esp+50], eax
mov     eax, dword ptr [esp+CC8]
mov     dword ptr [esp+60], ecx
mov     ecx, dword ptr [esp+CD8]
mov     dword ptr [esp+58], edx
mov     edx, dword ptr [esp+CD0]
mov     dword ptr [esp+5C], eax
mov     eax, dword ptr [esp+CD4]
mov     dword ptr [esp+24], ecx
lea     ecx, dword ptr [esp+1C]
mov     dword ptr [esp+1C], edx
mov     edx, dword ptr [esp+CDC]
mov     dword ptr [esp+20], eax
mov     eax, dword ptr [esp+CE0]
push    ecx
mov     ecx, ebx
mov     byte ptr [esp+50], 0
mov     byte ptr [esp+68], 0
mov     dword ptr [esp+2C], edx
mov     dword ptr [esp+30], eax
mov     byte ptr [esp+34], 0
call    0042BD60
lea     edx, dword ptr [esp+38]
push    edx
mov     ecx, ebx
mov     byte ptr [ebx+49B160], al
mov     byte ptr [ebx+49B161], ah
call    0042BD60
mov     word ptr [ebx+49B162], ax
lea     eax, dword ptr [esp+50]
push    eax
mov     ecx, ebx
call    0042BD60
mov     word ptr [ebx+49B164], ax
mov     ecx, dword ptr [esp+54AC]
mov     dword ptr fs:[0], ecx
pop     edi
pop     esi
pop     ebx
mov     esp, ebp
pop     ebp
retn    4

分析以上代码可以简单得出以下结论
1. 从call 004A0BD0 的调用可以简单分析出二次密文可能也是标准消息结构
2. 通过对比未更新版本与最新版本对3EF的发送情况，未更新版本发送3EF时，消息体是空，命令体其他参数不为0，再细分析，
未更新的版本的3EF其实就是割肉的命令...........
最新版本的客户端收到二次密文后，经过一些处理，以3EF为命令发向服务器
3. 从add edi, 10可以猜测，二次密文的命令体可能是迷惑人用的
4. 从call 0049F770这个调用断定 esp+3F8 就是二次解密后的明文
5. 对于call 0042C440这个调用，可以猜测，这个就是二次解密的函数
6. 服务器发来的密文对于本次解密是没有影响的，只是对它进行了一些操作，生成了4个数并进行如下保存
mov     byte ptr [ebx+49B160], al
mov     byte ptr [ebx+49B161], ah
mov     word ptr [ebx+49B162], ax
mov     word ptr [ebx+49B164], ax
7. 二次解密函数有2个参数: arg1 = dword ptr [ebx+3CD864] , arg2 = [esp+3F8]
   也就是根据dword ptr [ebx+3CD864]来生成解密明文，并存入地址esp+3F8，于是ebx+3CD864就成了解密的关键

Phrancol Yang 2008-06-01 20:12 发表评论

[原]MIR3G二次加解密反汇编分析（二）——分析

Phrancol Yang — Sun, 01 Jun 2008 02:48:00 GMT

数据发送接收情况:
........客户端与Gateserver,Loginserver的数据互换，省略
1. 客户端向Gameserver发送[**登录用户名/角色名/验证数1/验证数2/版本验证数/1/0]
2. Gameserver向客户端发送密文，类似#eLrBHMNxRmleJ_l{PAMHQ?pUCpdbENaJptK!
3. 客户端向Gameserver发送解密后密文，类似#3<<<<xZCNLSHoPpAnQRF?ljIaaUPmlSF^L_BmtfFODJA_X\\A]T`GNlq@L!
........欢迎信息，装备信息等省略

数据格式
[#][标识位][指令头][消息体][!]
例如 #3<<<<

命令结构体
typedef struct tag_TDEFAULTMESSAGE
{
    int     nRecog;
    WORD    wIdent; 3EF
    WORD    wParam;
    WORD    wTag;
    WORD    wSeries;
} _TDEFAULTMESSAGE, *_LPTDEFAULTMESSAGE;

解密命令体<<<< >>Method1(未知参数)
push    esi
push    edi
push    0
push    0
push    0
push    0
mov     esi, ecx
push    3EF
lea     edi, dword ptr [esi+18] ;esi+18 是命令结构体的首地址
push    edi         ;命令结构体首地址
call    004A0D00    ;生成命令结构体 (edi,3ef,0,0,0,0)
mov     eax, dword ptr [esp+C] ; eax保存第一个参数
push    0
push    eax
push    edi
mov     ecx, esi    ;传递this指针，
call    0049E450    ;发送数据，arg3: 0, arg2: 第一个参数, arg1: 命令结构体
pop     edi
pop     esi
retn    4

简单分析，入栈的4个0和3EF,则对应结构体,该函数至少1个参数，目前不知这个参数是什么意思，跟进0049E450看看
>>Method2(命令结构体,未知参数,0)
mov     eax, dword ptr [esp+4] ;eax=命令结构体
push    ebx
push    ebp
push    esi
mov     esi, ecx                ;得到this指针
push    20
lea     ebp, dword ptr [esi+24] ;esi+18是命令结构体，加密命令结构体得到的字符串保存在esi+24中
push    ebp
push    eax
call    004A0CA0                ;跟进发现是加密命令结构体,arg3: 20(32), arg2: esi+24, arg1: 命令结构体地址
mov     eax, dword ptr [esi+14] ;eax=esi+14=标识位
cmp     eax, 9
jl L015                         ;如果标识位小于9，则跳到L015
mov     dword ptr [esi+14], 1   ;否则标识位重设为1
jmp L017
L015:
inc     eax
mov     dword ptr [esi+14], eax ;标识位自加1
L017:
mov     edx, dword ptr [esp+14] ;edx=第2个参数
test    edx, edx                ;
je L048                         ;如果第2个参数为0，则跳转到L048
mov     eax, dword ptr [esp+18] ;eax=第3个参数: 0
test    eax, eax
push    edi
jnz L031                        ;eax不等于0则跳转
mov     eax, edx                ;eax=第2个参数
lea     edi, dword ptr [eax+1]
L026:
mov     cl, byte ptr [eax]      ;cl=第2个参数第1个字节
inc     eax                     ;eax
test    cl, cl                  ;循环得到第一个参数的长度
jnz L026                        ;没到字符串尾则继续循环
sub     eax, edi
L031:
push    2000
push    eax
lea     edi, dword ptr [esi+44]
push    edi
push    edx
call    004A0B10                ;调用加密函数，将edx加密，保存在esi+44中
mov     ecx, dword ptr [esi+14]
push    edi
push    ebp
push    ecx
lea     ebx, dword ptr [esi+2044]
push    004CBFE4                 ; #%d%s%s!
push    ebx
call    004BB568
add     esp, 14
pop     edi
jmp L056
L048:
mov     edx, dword ptr [esi+14]
push    ebp
push    edx
lea     ebx, dword ptr [esi+2044]
push    004CBFC4                   ; #%d%s!
push    ebx
call    004BB568                   ;sprintf 格式化发送给服务器端的数据
add     esp, 10
L056:
mov     eax, ebx
lea     edx, dword ptr [eax+1]
L058:
mov     cl, byte ptr [eax]
inc     eax                        ;这个循环得到数据长度
test    cl, cl
jnz L058
push    0
sub     eax, edx
push    eax                        ; 数据长度
mov     eax, dword ptr [esi+6044]
push    ebx                 ; Data ，要发送的数据
push    eax                 ; Socket对象
call       ;这里是调用send(Socket对象, 要发送的数据, 数据长度, 0 (flag));
pop     esi
pop     ebp
pop     ebx
retn    0C

L017和L031说明Method1和Method2中的未知参数就是明文消息体，Method1只有1个消息体参数

Phrancol Yang 2008-06-01 10:48 发表评论

[原]MIR3G二次加解密反汇编分析（一）——初探

Phrancol Yang — Fri, 30 May 2008 08:34:00 GMT

突击了一个星期的汇编，再对照民间流传的传奇源码(C++版本)，基本摸清了这部分的代码

OD打开Mir3.exe(Mir3G_20070108) -> ASCII ->找到**%s/%s/%d/%d/%d/1/%d->双击，得到如下代码

这段代码是将几个参数，使用sprintf生成字符串，然后6BIT加密，以#%d%s!格式发送到服务器端
0049E2D0 mov     eax, dword ptr [esp+14]          ; eax=arg5（第5个参数）
0049E2D4 sub     esp, 600                                    ; 预留1536个存储单元
0049E2DA push    esi
0049E2DB push    edi
0049E2DC mov     edi, dword ptr [<&USER32.wsprint>; USER32.wsprintfA
0049E2E2 push    eax                              ; /<%d>      ;eax入栈
**%s/%s/%d/%d/%d/1/arg5
0049E2E3 mov     eax, dword ptr [esp+618]         ; | eax = arg3
0049E2EA mov     esi, ecx                         ; |
0049E2EC mov     ecx, dword ptr [esp+61C]         ; | ecx = arg4
0049E2F3 mov     edx, ecx                         ; |             edx=ecx=arg4
0049E2F5 xor     edx, FA0280AF                    ; |    edx=arg4异或FA0280AF
0049E2FB push    edx                              ; |<%d>   edx入栈
**%s/%s/%d/%d/arg4异或FA0280AF/1/arg5
0049E2FC mov     edx, eax                         ; |          edx=eax=arg3
0049E2FE xor     edx, ecx                         ; |            edx=arg3异或arg4
0049E300 mov     ecx, dword ptr [esp+614]         ; |   ecx=arg1
0049E307 xor     edx, 5580AF27                    ; |      edx = edx异或5580AF27
0049E30D push    edx                              ; |<%d>   edx入栈
**%s/%s/%d/arg3异或arg4再异或5580AF27/arg4异或FA0280AF/1/arg5
0049E30E xor     eax, 3EB2C5CC                    ; | eax = arg3异或3EB2C5CC
0049E313 push    eax                              ; |<%d>
**%s/%s/arg3异或3EB2C5CC/arg3异或arg4再异或5580AF27/arg4异或FA0280AF/1/arg5
0049E314 mov     eax, dword ptr [esp+620]         ; | eax = arg2
0049E31B push    eax                              ; |<%s>
**%s/arg2/arg3异或3EB2C5CC/arg3异或arg4再异或5580AF27/arg4异或FA0280AF/1/arg5
0049E31C push    ecx                              ; |<%s>
**arg1/arg2/arg3异或3EB2C5CC/arg3异或arg4再异或5580AF27/arg4异或FA0280AF/1/arg5
0049E31D lea     edx, dword ptr [esp+220]         ; | edx 指向上面预留的1536个存储单元中最后512个单元的首地址
0049E324 push    004CBFCC                         ; |**%s/%s/%d/%d/%d/1/%d
0049E329 push    edx                              ; |s
0049E32A call    edi                              ; \wsprintfA edx指向生成的明文字符串首地址
0049E32C add     esp, 20                      ; 前移32个存储单元
0049E32F push    1FF                             512入栈 <加密函数第4个参数>
0049E334 lea     eax, dword ptr [esp+20C] eax =明文字符串
0049E33B push    eax                              ; /String
0049E33C call    dword ptr [<&KERNEL32.lstrlenA>] ; \lstrlenA 得到明文的长度，保存在eax中
0049E342 push    eax                                   eax入栈   明文长度入栈<加密函数第3个参数>
0049E343 lea     ecx, dword ptr [esp+10]     ecx=第一次入栈的edi的值，应该是某个成员变量
0049E347 push    ecx                                   ecx入栈<加密函数第2个参数>
0049E348 lea     edx, dword ptr [esp+214]
0049E34F push    edx                                    明文字符串首<加密函数第1个参数>
0049E350 call    004A0B10                           调用加密函数
fnEncode(char *strSrc, char *strDest, int lenSrc, 512)
...................
后面是发送信息

Phrancol Yang 2008-05-30 16:34 发表评论