Re: [PMGO] 用網站查iv就是飛人啊
看板PokeMon (PokeMon - 寶可夢)作者kevin0125 (BZ)時間9年前 (2016/08/15 23:01)推噓44(46推 2噓 45→)留言93則, 48人參與討論串7/7 (看更多)
大家好,小妹略懂寫黑窗
因為以前玩過ingress還有3DS的幾款寶可夢
覺得這遊戲還是正常玩比較有趣所以沒寫,而且也太多人寫了
看到查IV這幾個網站時一開始也有想用
但看到這些網站要拿你Google授權的Token時,小妹我就縮了
小妹我先來解釋一下要Token查IV的網站是怎麼查的
它先提供一個入口,假裝是Pokemon GO
透過oauth先轉到Google請你登入、Google就會給你「給Pokemon GO用的Token」
有了這個Token,Niantic的Server就可以去和Google確認你是這個Google帳號的持有者
而你把這個Token給PokeIV這種網站,Niantic的Server就會認為這些查IP網站是你
有了Token,下一步就是和Server問東西
但這個問東西的方式絕對不會是開一個真的Pokemon GO App然後幫你查資料
而是各位玩家透過反組反解錄來錄去之類各種方法,找出它的封包組成方式
只能說Pokemon Go這目標實在太大了,全世界的玩家都在關注它
目前Github上光解/建封包的套件,幾乎各種程式語言的專案都有
而當我們的程式能組成封包後,就能和Niantic的Server做「問」的動作(打API)了
但反過來說,能問IV,就能傳現在位置、就能丟球抓寶可夢、就能翻牌
對官方來說,上面任何一個假造封包的動作都和BOT/飛人一樣
如果那些玩家夠厲害的確是能組出「一模一樣」完全讓官方分不出來的封包和打法
認真一點的打API的間隔還會等個隨機間隔,正常App按照流程會打的API都造打一輪
但是,你根本不知道查IV網站們幫你做了哪些事...
可能它用正常Pokemon GO根本不會用的連線順序打API
可能它一次幫1000位玩家同時打API,打好打滿一次問完
可能它幫你查了,然後順便和Niantic的Server說我的位置在北極
可能它幫你把所有的寶可夢都改名你也無能為力
官方只要在偽造的封包/真的Poekmon GO的封包之間建立或是找到差異化
假若這類的網站/建立封包套件更新沒跟上時
就能輕易的把這些發送不正常封包的帳號全都BAN掉
或更單純點,有一個IP整天拿上萬個玩家的Token不間斷的打API問資料
這怎麼樣都很奇怪啊!
現在要查100%正確的IV最安全的方式是透過Proxy側錄(畢竟你沒動手腳只是在旁邊看)
不過後來查一查發現官方在前幾個版本加了Certificate Pinning
要錄只能在JB/Root後動些手腳,讓App無條件信任你自己簽的憑證
不過小妹我怎麼會懂iPhone JB呢~當然沒有用囉,啾咪~
而GO Radar之類的程式
就是用上面這種方法到處問哪邊有哪些寶可夢
之前聽說Android還iOS裝些插件也會幫忙傳資訊到GO Radar
但自從某天GO Radar一隻也沒顯示後,小妹我就覺得全都是用飛飛偵查隊掃出來的...
至於你要問,哪些是作弊哪些不是
當然全部都是啊,只是程度不同
(考試先拿到題目、從同學那知道題目、還是直接抄答案找槍手)
和官方查不查的出來而已
而把Token天真地給PokeIV這種網站的人只能說被查到剛好
勸大家,要嘛自己寫,要嘛不要用,千千萬萬不要用大家都在用的
真的用了,也只能祈禱Niantic官方大發慈悲了...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.235.178
※ 文章網址: https://www.ptt.cc/bbs/PokeMon/M.1471273281.A.E4B.html
推
08/15 23:03, , 1F
08/15 23:03, 1F
→
08/15 23:04, , 2F
08/15 23:04, 2F
推
08/15 23:04, , 3F
08/15 23:04, 3F
→
08/15 23:04, , 4F
08/15 23:04, 4F
推
08/15 23:05, , 5F
08/15 23:05, 5F
→
08/15 23:05, , 6F
08/15 23:05, 6F
推
08/15 23:05, , 7F
08/15 23:05, 7F
噓
08/15 23:05, , 8F
08/15 23:05, 8F
推
08/15 23:06, , 9F
08/15 23:06, 9F
噓
08/15 23:06, , 10F
08/15 23:06, 10F
推
08/15 23:06, , 11F
08/15 23:06, 11F
→
08/15 23:06, , 12F
08/15 23:06, 12F
真的就只是Pokemon GO實在吸引太多人注意了
加上真的就只是用HTTPS傳的
你怎樣組成封包的程式碼就放在App裡,總是能夠反解譯(Unity)反組譯(.so)出來的
之前翻了一下Github幾個處理封包的套件
看起來他們的確是沒有在HTTPS之上做些什麼特別的處理啦...
現在手機遊戲反來反去這一塊不缺人呀,現在又全世界神人齊力斷金XD
推
08/15 23:06, , 13F
08/15 23:06, 13F
→
08/15 23:06, , 14F
08/15 23:06, 14F
推
08/15 23:07, , 15F
08/15 23:07, 15F
推
08/15 23:07, , 16F
08/15 23:07, 16F
推
08/15 23:08, , 17F
08/15 23:08, 17F
資料上都一樣,但行為不一樣
就看官方怎麼認定囉
至少你飛來飛去一定死
推
08/15 23:09, , 18F
08/15 23:09, 18F
推
08/15 23:09, , 19F
08/15 23:09, 19F
推
08/15 23:09, , 20F
08/15 23:09, 20F
→
08/15 23:10, , 21F
08/15 23:10, 21F
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:11:11
推
08/15 23:10, , 22F
08/15 23:10, 22F
→
08/15 23:10, , 23F
08/15 23:10, 23F
推
08/15 23:10, , 24F
08/15 23:10, 24F
→
08/15 23:11, , 25F
08/15 23:11, 25F
→
08/15 23:11, , 26F
08/15 23:11, 26F
還好啦,JB都告不成了...
推
08/15 23:12, , 27F
08/15 23:12, 27F
推
08/15 23:13, , 28F
08/15 23:13, 28F
推
08/15 23:13, , 29F
08/15 23:13, 29F
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:15:34
→
08/15 23:20, , 30F
08/15 23:20, 30F
→
08/15 23:20, , 31F
08/15 23:20, 31F
→
08/15 23:20, , 32F
08/15 23:20, 32F
→
08/15 23:20, , 33F
08/15 23:20, 33F
是有猜一下它是怎麼實作的啦
它的App會統計使用者查詢的地點頻率,來決定飛飛兵要去哪邊偵查
至於你看到的現象就只是飛飛兵因為偵查的頻率或範圍關係,沒有找到你身邊的怪
所以出現在Go Radar上的一定有,但是有的不一定會出現在上面
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:23:51
還有 24 則推文
還有 4 段內文
→
08/15 23:58, , 58F
08/15 23:58, 58F
→
08/15 23:58, , 59F
08/15 23:58, 59F
這邊的登出
是註銷Niantic給你手機裡Pokemon GO的Token
而上面提到的Niantic給PokeIV的Token會不會"順便註銷"則要看官方的作法
可能會也可能不會啦,我自己沒有實驗過不知道
但就認證機制上,兩個Token不一樣而且不一起註銷應該是比較常見的實作
※ 編輯: kevin0125 (59.115.235.178), 08/16/2016 00:08:37
→
08/16 00:02, , 60F
08/16 00:02, 60F
推
08/16 00:13, , 61F
08/16 00:13, 61F
→
08/16 00:18, , 62F
08/16 00:18, 62F
行為一樣,但PokeIV之類網站傳的資料不一定一樣啊XD
我自己寫其他東西的(逼-)也都要官方app/黑窗都側錄一遍確認帶的資料一模一樣才安心
天知道他們用的程式會不會少加個Header、什麼欄位亂帶
API打了會通拿到一樣的資料又不代表和官方APP打的方式一模一樣:p
推
08/16 00:22, , 63F
08/16 00:22, 63F
推
08/16 00:23, , 64F
08/16 00:23, 64F
→
08/16 00:23, , 65F
08/16 00:23, 65F
→
08/16 00:23, , 66F
08/16 00:23, 66F
→
08/16 00:24, , 67F
08/16 00:24, 67F
→
08/16 00:25, , 68F
08/16 00:25, 68F
→
08/16 00:25, , 69F
08/16 00:25, 69F
其實反過來想
官方要找外掛也是先想辦法找出不是官方App送來的Request
至於這堆Request之中要怎麼分出哪些是乖乖只查IV,哪些是有做壞事也不是說很好分
除非說官方自己開放查IV,不然很難避免這種灰色地帶吧
推
08/16 00:35, , 70F
08/16 00:35, 70F
※ 編輯: kevin0125 (59.115.235.178), 08/16/2016 00:36:47
推
08/16 00:41, , 71F
08/16 00:41, 71F
推
08/16 00:43, , 72F
08/16 00:43, 72F
推
08/16 01:36, , 73F
08/16 01:36, 73F
→
08/16 01:36, , 74F
08/16 01:36, 74F
→
08/16 01:38, , 75F
08/16 01:38, 75F
→
08/16 01:38, , 76F
08/16 01:38, 76F
推
08/16 02:04, , 77F
08/16 02:04, 77F
推
08/16 02:42, , 78F
08/16 02:42, 78F
推
08/16 02:53, , 79F
08/16 02:53, 79F
→
08/16 02:53, , 80F
08/16 02:53, 80F
推
08/16 06:18, , 81F
08/16 06:18, 81F
推
08/16 07:46, , 82F
08/16 07:46, 82F
推
08/16 07:49, , 83F
08/16 07:49, 83F
→
08/16 07:49, , 84F
08/16 07:49, 84F
→
08/16 08:28, , 85F
08/16 08:28, 85F
→
08/16 08:28, , 86F
08/16 08:28, 86F
→
08/16 08:31, , 87F
08/16 08:31, 87F
推
08/16 10:38, , 88F
08/16 10:38, 88F
推
08/16 13:18, , 89F
08/16 13:18, 89F
推
08/17 07:26, , 90F
08/17 07:26, 90F
推
08/17 08:28, , 91F
08/17 08:28, 91F
推
08/17 10:15, , 92F
08/17 10:15, 92F
推
08/17 14:37, , 93F
08/17 14:37, 93F
討論串 (同標題文章)
PokeMon 近期熱門文章
PTT遊戲區 即時熱門文章
