看板 PokeMon
作者
標題 Re: [PMGO] 用網站查iv就是飛人啊
時間 Mon Aug 15 23:01:18 2016
作者
標題 Re: [PMGO] 用網站查iv就是飛人啊
時間 Mon Aug 15 23:01:18 2016
大家好,小妹略懂寫黑窗
因為以前玩過ingress還有3DS的幾款寶可夢
覺得這遊戲還是正常玩比較有趣所以沒寫,而且也太多人寫了
看到查IV這幾個網站時一開始也有想用
但看到這些網站要拿你Google授權的Token時,小妹我就縮了
小妹我先來解釋一下要Token查IV的網站是怎麼查的
它先提供一個入口,假裝是Pokemon GO
透過oauth先轉到Google請你登入、Google就會給你「給Pokemon GO用的Token」
有了這個Token,Niantic的Server就可以去和Google確認你是這個Google帳號的持有者
而你把這個Token給PokeIV這種網站,Niantic的Server就會認為這些查IP網站是你
有了Token,下一步就是和Server問東西
但這個問東西的方式絕對不會是開一個真的Pokemon GO App然後幫你查資料
而是各位玩家透過反組反解錄來錄去之類各種方法,找出它的封包組成方式
只能說Pokemon Go這目標實在太大了,全世界的玩家都在關注它
而是各位玩家透過反組反解錄來錄去之類各種方法,找出它的封包組成方式
只能說Pokemon Go這目標實在太大了,全世界的玩家都在關注它
目前Github上光解/建封包的套件,幾乎各種程式語言的專案都有
而當我們的程式能組成封包後,就能和Niantic的Server做「問」的動作(打API)了
但反過來說,能問IV,就能傳現在位置、就能丟球抓寶可夢、就能翻牌
對官方來說,上面任何一個假造封包的動作都和BOT/飛人一樣
如果那些玩家夠厲害的確是能組出「一模一樣」完全讓官方分不出來的封包和打法
認真一點的打API的間隔還會等個隨機間隔,正常App按照流程會打的API都造打一輪
認真一點的打API的間隔還會等個隨機間隔,正常App按照流程會打的API都造打一輪
但是,你根本不知道查IV網站們幫你做了哪些事...
可能它用正常Pokemon GO根本不會用的連線順序打API
可能它一次幫1000位玩家同時打API,打好打滿一次問完
可能它幫你查了,然後順便和Niantic的Server說我的位置在北極
可能它幫你把所有的寶可夢都改名你也無能為力
官方只要在偽造的封包/真的Poekmon GO的封包之間建立或是找到差異化
假若這類的網站/建立封包套件更新沒跟上時
就能輕易的把這些發送不正常封包的帳號全都BAN掉
或更單純點,有一個IP整天拿上萬個玩家的Token不間斷的打API問資料
這怎麼樣都很奇怪啊!
現在要查100%正確的IV最安全的方式是透過Proxy側錄(畢竟你沒動手腳只是在旁邊看)
不過後來查一查發現官方在前幾個版本加了Certificate Pinning
要錄只能在JB/Root後動些手腳,讓App無條件信任你自己簽的憑證
不過小妹我怎麼會懂iPhone JB呢~當然沒有用囉,啾咪~
要錄只能在JB/Root後動些手腳,讓App無條件信任你自己簽的憑證
不過小妹我怎麼會懂iPhone JB呢~當然沒有用囉,啾咪~
而GO Radar之類的程式
就是用上面這種方法到處問哪邊有哪些寶可夢
之前聽說Android還iOS裝些插件也會幫忙傳資訊到GO Radar
但自從某天GO Radar一隻也沒顯示後,小妹我就覺得全都是用飛飛偵查隊掃出來的...
至於你要問,哪些是作弊哪些不是
當然全部都是啊,只是程度不同
(考試先拿到題目、從同學那知道題目、還是直接抄答案找槍手)
和官方查不查的出來而已
而把Token天真地給PokeIV這種網站的人只能說被查到剛好
勸大家,要嘛自己寫,要嘛不要用,千千萬萬不要用大家都在用的
真的用了,也只能祈禱Niantic官方大發慈悲了...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.235.178
※ 文章代碼(AID): #1NiTb1vB (PokeMon)
※ 文章網址: https://www.ptt.cc/bbs/PokeMon/M.1471273281.A.E4B.html
推 : 推
不過每個程式和程序傳的封包一定是不同,都靠特徵碼1F 08/15 23:03
不過每個程式和程序傳的封包一定是不同,都靠特徵碼1F 08/15 23:03
推 : 同意3F 08/15 23:04
→ : 而程式的特徵碼,一般的遊戲不會讓你那麼輕易拆出來4F 08/15 23:04
推 : 長知識推5F 08/15 23:05
→ : 真要知道他的特徵碼,除非有辦法破解人家的加密法6F 08/15 23:05
推 : 專業推 那之前給過之後都不用 會好一點嗎Q7F 08/15 23:05
噓 : 嘛,之前就有人講過了,幹嘛又發一篇8F 08/15 23:05
推 : 長知識推9F 08/15 23:06
噓 : OP10F 08/15 23:06
推 : 覺得這篇比較符合實際情況...11F 08/15 23:06
→ : 或是反組譯才有可能,而且不可能做到完全一樣12F 08/15 23:06
真的就只是Pokemon GO實在吸引太多人注意了加上真的就只是用HTTPS傳的
你怎樣組成封包的程式碼就放在App裡,總是能夠反解譯(Unity)反組譯(.so)出來的
之前翻了一下Github幾個處理封包的套件
看起來他們的確是沒有在HTTPS之上做些什麼特別的處理啦...
現在手機遊戲反來反去這一塊不缺人呀,現在又全世界神人齊力斷金XD
推 : 所以用過iv 的只能希望不要鎖到自己?13F 08/15 23:06
→ : 沒錯14F 08/15 23:06
推 : 一般來說 官方不至於會抓這個 但如果被抓 你也並不無辜15F 08/15 23:07
推 : 中文我都懂。但放在一起後 我怎麼又好像不懂16F 08/15 23:07
推 : 用過iv的,可以去用外掛了,反正對官方來說都一樣?17F 08/15 23:08
資料上都一樣,但行為不一樣就看官方怎麼認定囉
至少你飛來飛去一定死
推 : 推專業。18F 08/15 23:09
推 : 都算違規 但並不一樣 官方目前明明就沒鎖查IV的19F 08/15 23:09
推 : 推專業20F 08/15 23:09
→ : log都這麼明顯 官方還是分得出來差異21F 08/15 23:10
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:11:11推 : 可是我目前看到所有推論都說用iv行為,對官方都是一樣的?22F 08/15 23:10
推 : 這篇正解 如果是用破解程式的手段取得iv資訊 那就挫賽了
因為這恐怕涉及反組譯程式的問題 而且這是網路遊戲 藏不住
被ban只是小事 如果他爽 要告侵權 那就不好玩了24F 08/15 23:10
還好啦,JB都告不成了...因為這恐怕涉及反組譯程式的問題 而且這是網路遊戲 藏不住
被ban只是小事 如果他爽 要告侵權 那就不好玩了24F 08/15 23:10
推 : 推專業27F 08/15 23:12
推 : 寫得超認真=ˇ=28F 08/15 23:13
推 : 推專業29F 08/15 23:13
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:15:34→ : 我的觀察是Go Radar資料來源那個外掛是只有和怪遭遇後才開始拿資料,並沒有從Sighting側錄,否則出怪資料應該「更完整」才對,畢竟有許多一般玩家反應身旁明明有怪,可是Go Radar卻沒顯示出來。30F 08/15 23:20
是有猜一下它是怎麼實作的啦它的App會統計使用者查詢的地點頻率,來決定飛飛兵要去哪邊偵查
至於你看到的現象就只是飛飛兵因為偵查的頻率或範圍關係,沒有找到你身邊的怪
所以出現在Go Radar上的一定有,但是有的不一定會出現在上面
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:23:51
推 : GoRadar應該是抓到之後再抓回去的吧~34F 08/15 23:20
推 : 告不告得成 和要不要告 是兩回事
暴雪先前有提告作弊程式商 只是失敗 但提告的動作還是有35F 08/15 23:21
暴雪先前有提告作弊程式商 只是失敗 但提告的動作還是有35F 08/15 23:21
推 : 之前有說Go Radar的作者自己有做tweak 然後從裡面挖37F 08/15 23:28
說台灣有那麼多人裝它的Tweak我反而覺得很瞎耶XD要裝理論上也要JB/Root吧
推 : 完全看不懂推38F 08/15 23:30
→ : 我的帳號不是用google而是上官網另外申請的 也要Google授權的Token嗎?39F 08/15 23:31
這樣還是會有一個和Google登入不一樣的Token只是Niantic是直接發給PokeIV而不是發給你
其實用Google的話還可以先解除允許給Pokemon GO的權限,讓Token失去效用
官網帳號雖然說可以先改密碼在登PokeIV再改回來
但是用官網帳號因為Token不會經手你這邊,你連要做登出的動作都...辦不到...
可能要看官方有沒有做「一改密碼就把這個使用者之前所有的Token都作廢!」的動作
推 : 所以已經用過iv那些人現在只能等官方會不會大發慈悲放過了嗎41F 08/15 23:33
推 : RADAR本來就外掛 之前一堆屁孩還在那吵
請一堆飛人探險隊幫你找怪不是掛是什麼43F 08/15 23:34
請一堆飛人探險隊幫你找怪不是掛是什麼43F 08/15 23:34
→ : 會有log留下,飛人也是,例如常常用高於步行速度卻沒走在路上,甚至穿越障礙物的,都會有記錄。45F 08/15 23:36
往好處想Pokemon GO的玩家數量實在太多如果你只查一次,而PokeIV也真的乖乖的只幫你和官方問一次
那要從茫茫大海中找到你的機會可能真的會小一點啦
但Niantic應該不缺從Google來的Big Data人才就是惹?
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:41:49
※ 編輯: kevin0125 (59.115.235.178), 08/15/2016 23:44:19
推 : 推推47F 08/15 23:44
→ : 最大問題還是Niantic有著寧可得罪八成玩家的習慣48F 08/15 23:46
推 : 推結論,要嘛飛人bot搞個幾十隻,要嘛乖乖出門亂槍打鳥,不要拿本尊google帳號開玩笑49F 08/15 23:50
推 : 有高手,跟我猜到的很像,但我是分析被鎖的推文,被鎖的大多都有用APP查IV,被飛來飛去當雷達;而用PokeIV被Ban的人,大多數都說自己一天用非常多次,個人猜測PokeIV沒拿你的帳號做壞事,可能是大量截取伺服器資訊等,這需要大神解釋,不然應該每個用過的都被Ban了。故我推測Niantic還沒要Ban查IV的,目前可以放心,但也不代表未來不會Ban,建議大家別用類似網站和APP。51F 08/15 23:54
Go Radar的偵查帳號如果真的是這類網站/App搜集來的就太沒品了,應該不是吧而且那些帳號應該會瞬間被BAN光然後就沒人敢用那個App或網站了...
或許作者有寫洗官網帳號的機器人來做這些事
這邊的登出
![[圖]](http://i.imgur.com/pRVWt5Th.jpg)
是註銷Niantic給你手機裡Pokemon GO的Token
而上面提到的Niantic給PokeIV的Token會不會"順便註銷"則要看官方的作法
可能會也可能不會啦,我自己沒有實驗過不知道
但就認證機制上,兩個Token不一樣而且不一起註銷應該是比較常見的實作
※ 編輯: kevin0125 (59.115.235.178), 08/16/2016 00:08:37
→ : 早一點全部ban比較會讓玩家回籠 還是晚一點?60F 08/16 00:02
推 : 用ban頗麻煩,用公告不就好了61F 08/16 00:13
→ : 用iv行為也跟用官方app一樣啊..62F 08/16 00:18
行為一樣,但PokeIV之類網站傳的資料不一定一樣啊XD我自己寫其他東西的(逼-)也都要官方app/黑窗都側錄一遍確認帶的資料一模一樣才安心
天知道他們用的程式會不會少加個Header、什麼欄位亂帶
API打了會通拿到一樣的資料又不代表和官方APP打的方式一模一樣:p
推 : 真的長知識63F 08/16 00:22
推 : 講白了就是第三方取得你的帳號授權後幹了哪些事情
你根本不知道。但是這些事情會被log在官方的資料庫內
應該說他如果幹了些壞事你也不知道
個人是覺得單純查iv去query 資料庫去做限制就有點
矯枉過正了64F 08/16 00:23
其實反過來想你根本不知道。但是這些事情會被log在官方的資料庫內
應該說他如果幹了些壞事你也不知道
個人是覺得單純查iv去query 資料庫去做限制就有點
矯枉過正了64F 08/16 00:23
官方要找外掛也是先想辦法找出不是官方App送來的Request
至於這堆Request之中要怎麼分出哪些是乖乖只查IV,哪些是有做壞事也不是說很好分
除非說官方自己開放查IV,不然很難避免這種灰色地帶吧
推 : 推解說70F 08/16 00:35
※ 編輯: kevin0125 (59.115.235.178), 08/16/2016 00:36:47推 : 推專業 但我也不相信官方會ban單純查IV的71F 08/16 00:41
推 : push72F 08/16 00:43
推 : 側錄封包後再仿照格式後 自己做出「真的」封包超簡單的
請搜尋wireshark
官方除了用ip位置 gps位置去擋之外 沒有辦法阻擋這種做法 即使是https也一樣73F 08/16 01:36
請搜尋wireshark
官方除了用ip位置 gps位置去擋之外 沒有辦法阻擋這種做法 即使是https也一樣73F 08/16 01:36
推 : 感覺好高深 看不懂 不過推原po用心~77F 08/16 02:04
推 : 必須推阿 真的是作弊程度差異而已,而且要帳號本身就很詭異78F 08/16 02:42
推 : 推,我剛剛手機抓到沒電改用電腦設定gps在家,查個iv和抓寵而已,之後登出電腦改用手機登入就被ban了79F 08/16 02:53
推 : 淺顯易懂!81F 08/16 06:18
推 : 專業82F 08/16 07:46
推 : 人很奇怪,自己再用就說那只是輔助。然後真被抓就再靠么說這也鎖?我又沒飛了!!83F 08/16 07:49
→ : github就有在自己電腦查IV的工具
不懂為何這麼多人會冒風險去登別人網站查IV
session都來自同一個IP,官方遲早會出手85F 08/16 08:28
不懂為何這麼多人會冒風險去登別人網站查IV
session都來自同一個IP,官方遲早會出手85F 08/16 08:28
推 : 寫這個人的人怎麼可能不知道wireshark 側錄只是輔助驗證88F 08/16 10:38
推 : 專業推89F 08/16 13:18
--
作者 kevin0125 的最新發文:
- 16F 6推
![]()
大家好,小妹略懂寫黑窗 因為以前玩過ingress還有3DS的幾款寶可夢 覺得這遊戲還是正常玩比較有趣 看到查IV這幾個網站時一開始也有想用 但看到這些網站要拿你Google授權的Token時,小妹我 …89F 42推 2噓- League of Legends Cosplay 這邊整理了各個角色的Cosplay照片 正妹角色不用多說,大家應該都會自己點進去看 但某些Yordle,或是根本不是人的Cos就很微妙了...XD …53F 36推 1噓
