MyComputer è GameServer .S...... 客户端请求建立连接
MyComputer ç GameServer .S..A... 服务器同意建立连接
MyComputer è GameServer ....A... 连接建立
以上三个包称为建立TCP连接的三段式握手。当你调用Socket类的Connect方法时就会产生上面的三个TCP包。
 
下面是连接断开的过程。
MyComputer è GameServer F...A... 客户端请求断开连接
MyComputer ç GameServer ....A... 服务器同意断开请求
MyComputer ç GameServer F...A... 服务器请求断开连接
MyComputer è GameServer ....A... 客户端同意断开请求
调用Socket类的Disconnect方法时就会产生上面的四个TCP包。
在验证用户名和密码的过程中，客户端和服务器之间总共连接了二次，所以在之后的外挂程序编写过程中，我们同样也要连接二次。
TCP Flag为...PA...表示该TCP包内带有数据，而....A...则是回应包，用于回应上一个包的发送方：我已经收到你上一个包了，它本身不带数据。所以一般一个...PA...包都有一个对应的....A...包（例如编号为266和269），但如果回应的时候，发现正好有数据要发送，则可以将回应包掺杂在发送包中发送过去（例如编号为273的回应包就掺杂在275这个包内）。
下面观察客户端和服务器之间的实际数据往来。
1. 客户端连接到服务器
2. MyComputer ç GameServer 服务器给客户端发送7字节的数据
3. MyComputer è GameServer 客户端给服务器发送90字节的数据
4. MyComputer ç GameServer 服务器给客户端发送65字节的数据
5. MyComputer ç GameServer 服务器给客户端发送48字节的数据
6. MyComputer è GameServer 客户端给服务器发送48字节的数据
7. MyComputer ç GameServer 服务器给客户端发送208字节的数据
8. 服务器断开连接
9. ……
以上就是第一次连接的大致过程。观察每个包内的具体传输数据是没有意义的，因为网游之间的通讯肯定是加密的，你每次拦截下来的数据都会不一样。通常游戏服务器给客户端发送的第一个包都是KEY包（例如上面的7字节的包），客户端在接收到KEY包之后执行相应的数据加密初始化。所以接下来的任务就是根据已掌握的数据通讯规律，对游戏客户端的加密算法进行破解了。 
4 游戏加密算法破解
网络游戏所使用的网络通讯函数肯定也是微软操作系统所提供的标准API函数，所以通常在接受网络数据的API函数中下一个断点，当接收到第一个7字节包时，断点激活，然后逐渐跟进去，查看游戏客户端是如何处理该段数据的，然后我们在外挂中依样画葫芦，进行同样的处理。整个破解过程相当的枯燥无聊，因为面对的都是汇编代码也涉及本人专长，所以只能大致的说一下。
5 DEMO制作
破解完成之后，就要制作一个能够登录游戏的DEMO了，用于确认游戏加密算法的破解是否成功。
至于选择何种编程语言和工具制作外挂则没有限定，常用的如VC，Delphi，VB…等都可以，具体的编程在此就不具体说明了，可以根据个人的喜好所选择，
下面谈谈网游中数据通讯的基本单位：指令包。
所谓指令包就是代表了一个最基本含义的数据包。比如游戏人物向左移动时，游戏客户端就会向服务器发送一个指令包（人物走路包），通知服务器更新游戏人物的坐标。当游戏人物周围出现一个新的怪物时，服务器会向客户端发送一个指令包（怪物出现包），通知客户端在画面上绘制出该怪物。所以，可以说指令包就是客户端和服务器之间所使用的通讯语言，而外挂的工作就是解析该种语言，然后模拟客户端和服务器端进行通讯。
 
各个游戏定义的指令包的格式都不一样，但一般一个指令包通常含有以下几个元素：
XX XX XX XX XX XX XX ...
XX XX 红色部分通常与该指令包的长度相关。他可能是指整个指令包的长度，也可能是指他余下部分指令的长度，这需要根据游戏的具体情况来确定。
之所以专门要用一定空间来说明指令包的长度，这是由SOCKET通讯的机制所决定的。
SOCKET连接建立好之后，通过SOCKET连接读取到的数据并不是以指令包为分割的。有可能一个TCP包中正好包含一条指令包，也有可能仅仅包含指令包的一部分（如下图所示）。所以这时候就要根据指令包长度将收到的网络数据截取成单个的指令包。
 
有一点需要指出的是：刚开始的几个数据包不一定遵循一定的规律，这时候就需要进行特殊处理（因为在开头，所以也比较好处理），而之后的数据包肯定是遵循指令包格式的，不然就乱套了。
XX XX 蓝色部分通常称为指令包标识，用于说明该指令包是属于哪一种类型。比如怪物攻击包，玩家的移动包……,游戏客户端根据收到的相应指令包采取不同的动作。事实上，在客户端程序的内部就是一个很大的Switch语句，用来处理不同的指令包,如下所示：
Switch(指令包类型)
{
Case 移动包： 绘制相关人物的移动； break；
Case 攻击包： 绘制A攻击B的画面； break；
…
}
XX XX XX 部分是指令包详细的信息，该部分随着不同的指令包而有不同的格式。比如，如果是玩家移动包的话，他就会在此部分详细说明是哪个ID在移动，移动点是从哪儿到哪儿。
DEMO成功制作完成的话，那我们就已经成功了一小半了。接下去的工作主要分为动态和静态二个方面。动态方面是根据已掌握的指令包格式，逐个分析游戏中的各个基本指令。静态方面则是从游戏客户端中解析出相应的资源。
3 网游基本指令分析
1 监控网游客户端的发送包和接受包
要分析网游指令，首先就要得到网游指令的数据样本。那么如何得到网游指令的数据样本呢？
首先想到的是使用网络截包工具，这种方式在网游发展早期的话还有一定的可行性，因为那时候网游大部分采用明文通讯，而现在的网游数据通讯肯定是加密的，所以使用网络截包工具截获到的数据毫无意义。
既然无法使用通用的工具，那我们只能把目光移向游戏客户端了，因为在游戏客户端内处理的肯定是未加密的数据。
像之前的加密破解一样，跟踪游戏对网络数据的处理过程，分别找到游戏中对解密后的指令包的处理函数入口和游戏对要发送指令包进行加密的函数入口这二个地方，然后修改这二处地方入口点的汇编指令，使之先调用我们编写的函数，然后再调用原始的过程。在我们自己编写的函数内部，分别记录下接收到的指令包和要发送的指令包。这样，网游客户端的发送包和接受包的监控就完成了。
2 分析网游指令的通用方法
能够获得网游指令样本数据之后，接下去就是实际的分析过程了。
一般而言，根据指令包所起的不同作用，可以将游戏指令包分为不同类别:
连接相关指令包 用于与游戏建立连接以及退出游戏时的指令包
玩家属性相关指令包 与玩家本身状态相关的指令包，在刚进入游戏系统时，服务器会发送过来大量的关于玩家角色基本信息的指令包。
环境相关指令包 由于告知玩家周围怪物/NPC/其他玩家状况的指令包
移动相关指令包 与走路相关的指令包
战斗相关指令包 与战斗相关的指令包
交易相关指令包 与交易相关的指令包
…… 
 
制作一款外挂，如果只要求基本功能的话，分析20，30个指令包应该就差不多了，如果要求功能比较完善的话，至多50个指令包也就差不多了。
具体分析的方法也很简单，无非是排除干扰因素，逐个击破，以及重复试验，确保分析结果正确
4 网游资源解析
游戏资源主要是指包含在网游客户端内的与游戏相关的数据资源：其中最重要的是地图资源，其他的资源包括NPC的位置坐标啊，地图传送点的坐标啊，等等。
1 地图资源解析
地图资源的解析是外挂制作中很重要的一个方面，寻路算法以及地图间的自动移动等都要依赖于地图资源。
外挂中所使用的地图资源不完全等同于游戏中使用的地图资源。游戏中使用的地图资源包含有更多的信息，而外挂所使用的地图称之为BOOL地图，它仅仅包含一项信息：指定的某一点是可移动点还是障碍点。
就是某个游戏地图所对应的BOOL地图，其中蓝色部分代表不可移动区域，白色部分代表可移动区.
那么如何获得游戏地图所对应的地图资源呢？通常在网游客户端的程序安装目录内会存在一个类似map或者res之类的目录。地图资源处在其中的可能性很大，而且地图资源本身的文件格式也比较明显，通常它都是以如下的格式存在的：
个字节的地图头信息中肯定包含了地图的宽度信息和高度信息，设宽度和高度分别为W和H。后面的部分通常都是地图点信息。地图上的一个点通常由n个字节所构成，整个地图文件的大小由此计算而得： N + (W*H*n)。
所以判断是否是地图文件很简单，只要看一下文件的头，然后查看一下文件的大小。如果有一组文件满足上面的规律的话，那基本上可以肯定是地图资源文件了。
接下来就是要把游戏地图转化为BOOL地图。前面提到地图文件中地图上的一个点通常有n个字节所构成，里面含有很多丰富的信息，而BOOL地图所关心的是否是可移动点的信息通常仅需要用1位即可表示。（注意是位，1个字节有8位，所以n个字节总共有8n位）将一张游戏地图中所有点的该位信息收集起来组成的新的地图就是BOOL地图。它标示了地图中那些区域玩家是可移动的，那些区域是不可移动的，为后面的寻路算法提供了基础数据。
原理明白了，接下去就是写一个程序解析地图资源。大致步骤如下：
1. 打开一个地图文件
2. 读入地图文件的头信息，解析出地图宽度和高度
3. 读入地图点信息，对每一个点所代表的n字节数据执行位操作，提炼出其中某一位的信息，保存到自己的结构中。（此处我建议大家采用BMP格式的数据来保存提炼出来的位信息，好处有三点：一是保存完之后，直接可以用图片浏览工具查看结果，不必自己再写一个绘制的程序，二是使用BMP格式保存的话，保存的数据容量也小，三是在外挂中显示地图时可以将BMP图片直接作为背景图片贴在窗口上。）
由于之前你尚无法确定n字节中的哪一位代表了点的是否可移动属性，所以每一位你都要取一遍组成一幅地图，然后查看哪一幅和游戏地图最接近。多读几个地图文件做实验，很容易就可以确认下来的。
2 其他资源的解析
地图资源的解析是通过了解物理磁盘上地图文件的保存格式，然后自己写程序解析出来的，使用这种方法还可以解析其他很多资源信息。大家可以仔细观察游戏的安装目录，根据子目录和文件的名字可以分析出很多有用的信息。
但目前游戏厂商也越来越狡猾了，保存在磁盘上的资源文件通常进行了变形（压缩或者加密），使你无法通过简单的分析获得你所需要的信息。
一种解决办法就是观察游戏是如何处理变型的资源文件的。因为在游戏中资源肯定是以原始形式存在的，通常都是在游戏初始化的时候，从磁盘上读入变形的资源文件，然后将其恢复为原始状态的资源形式，我们就跟踪该段的处理过程，然后自己模仿写一段程序将变形资源恢复为原始资源形式。
另外一种方法就是直接从游戏的内存中读取有用的资源信息。该方法的理论依据就是：资源信息在游戏中肯定是明文形态，而且是被有序组织的。比如，如果你想要获得所有游戏物品的信息列表，你可以随意选择一个物品名称，然后在游戏的内存中查找他的位置。所有的物品在游戏内存中肯定是以某种链表的形式存在的，你只要找到了一个，就可以顺藤摸瓜，找到该链表的头，然后自己写一个程序，读写游戏的内存空间，将整个游戏的物品列表全部读取出来。