今天用WPE抓取两个账号登陆天天酷跑时的封包,一个是QQ:
381428236(因刷积分被封365);另一个是可以正常登陆酷跑的QQ:
2746575556。发现大小为1460,功能为验证登陆的封包。详细情况如下:
我第一个登陆的是QQ:
2746575556,第二个登陆的是QQ:
381428236。
QQ:
2746575556的验证过程中,有5个大小为1460的封包,仅有1个在功能中显示是QQ:
2746575556的验证过程数据,而剩余的几个中,一直有显示QQ:
381428236的信息,情况很诡异,登陆2746575556与381428236有什么关系呢?为什么会有381428236的数据被发送?
随后我登陆了QQ:
381428236QQ:
381428236的验证过程中,只有一个大小为1460的封包,而且返回的数据很少;然后直接显示封停365的界面。而在抓取的数据中,没有任何关于QQ:
2746575556的信息。
综合以上信息可以看出,被封停的账号,必定存在一个文件记录,而这个文件记录隐藏在哪里,记录的内容是什么?可以肯定的是不是设备信息,因为换手机登陆一样显示是被封的,那其中的内容应该是绑定在什么地方,以至于即便卸载酷跑,清理数据也达不到解封的目的。
所以如何找到这个文件,并如何修改?因为之前出现过修改KPID.ick的文件可以达到解封的效果这个先例,那么现在应该也是同样的机制,只不过隐藏的更深。求高手研究。不胜感激!
附:截取的封包,WPE大神有兴趣的可以下载研究一下
2746575556.zip[点击下载](2 K) 下载次数:2 累计下载获得 DB 4 刀381428236.zip[点击下载](2 K) 下载次数:0 累计下载获得 DB 没有记录 刀。
