大家好,小妹略懂写黑窗
因为以前玩过ingress还有3DS的几款宝可梦
觉得这游戏还是正常玩比较有趣所以没写,而且也太多人写了
看到查IV这几个网站时一开始也有想用
但看到这些网站要拿你Google授权的Token时,小妹我就缩了
小妹我先来解释一下要Token查IV的网站是怎么查的
它先提供一个入口,假装是Pokemon GO
透过oauth先转到Google请你登入、Google就会给你“给Pokemon GO用的Token”
有了这个Token,Niantic的Server就可以去和Google确认你是这个Google帐号的持有者
而你把这个Token给PokeIV这种网站,Niantic的Server就会认为这些查IP网站是你
有了Token,下一步就是和Server问东西
但这个问东西的方式绝对不会是开一个真的Pokemon GO App然后帮你查资料
而是各位玩家透过反组反解录来录去之类各种方法,找出它的封包组成方式
只能说Pokemon Go这目标实在太大了,全世界的玩家都在关注它
目前Github上光解/建封包的套件,几乎各种程式语言的专案都有
而当我们的程式能组成封包后,就能和Niantic的Server做“问”的动作(打API)了
但反过来说,能问IV,就能传现在位置、就能丢球抓宝可梦、就能翻牌
对官方来说,上面任何一个假造封包的动作都和BOT/飞人一样
如果那些玩家够厉害的确是能组出“一模一样”完全让官方分不出来的封包和打法
认真一点的打API的间隔还会等个随机间隔,正常App按照流程会打的API都造打一轮
但是,你根本不知道查IV网站们帮你做了哪些事...
可能它用正常Pokemon GO根本不会用的连线顺序打API
可能它一次帮1000位玩家同时打API,打好打满一次问完
可能它帮你查了,然后顺便和Niantic的Server说我的位置在北极
可能它帮你把所有的宝可梦都改名你也无能为力
官方只要在伪造的封包/真的Poekmon GO的封包之间建立或是找到差异化
假若这类的网站/建立封包套件更新没跟上时
就能轻易的把这些发送不正常封包的帐号全都BAN掉
或更单纯点,有一个IP整天拿上万个玩家的Token不间断的打API问资料
这怎么样都很奇怪啊!
现在要查100%正确的IV最安全的方式是透过Proxy侧录(毕竟你没动手脚只是在旁边看)
不过后来查一查发现官方在前几个版本加了Certificate Pinning
要录只能在JB/Root后动些手脚,让App无条件信任你自己签的凭证
不过小妹我怎么会懂iPhone JB呢~当然没有用囉,啾咪~
而GO Radar之类的程式
就是用上面这种方法到处问哪边有哪些宝可梦
之前听说Android还iOS装些插件也会帮忙传资讯到GO Radar
但自从某天GO Radar一只也没显示后,小妹我就觉得全都是用飞飞侦查队扫出来的...
至于你要问,哪些是作弊哪些不是
当然全部都是啊,只是程度不同
(考试先拿到题目、从同学那知道题目、还是直接抄答案找枪手)
和官方查不查的出来而已
而把Token天真地给PokeIV这种网站的人只能说被查到刚好
劝大家,要嘛自己写,要嘛不要用,千千万万不要用大家都在用的
真的用了,也只能祈祷Niantic官方大发慈悲了...
推不过每个程式和程序传的封包一定是不同,都靠特征码
作者: swhacker (人二雄) 2016-08-15 23:04:00
同意
作者:
chris0701 (Quasimodo)
2016-08-15 23:05:00专业推 那之前给过之后都不用 会好一点吗Q
作者:
Lichtseme (海是你,而我是礁石)
2016-08-15 23:05:00嘛,之前就有人讲过了,干嘛又发一篇
作者:
Enfys (嗯啡)
2016-08-15 23:06:00长知识推
作者: mandj 2016-08-15 23:06:00
OP
一般来说 官方不至于会抓这个 但如果被抓 你也并不无辜
用过iv的,可以去用外挂了,反正对官方来说都一样?
可是我目前看到所有推论都说用iv行为,对官方都是一样的?
作者:
wak (默艾)
2016-08-15 23:10:00这篇正解 如果是用破解程式的手段取得iv资讯 那就挫赛了因为这恐怕涉及反组译程式的问题 而且这是网络游戏 藏不住被ban只是小事 如果他爽 要告侵权 那就不好玩了
作者:
jameshcm (亿载金城‧武)
2016-08-15 23:20:00我的观察是Go Radar资料来源那个外挂是只有和怪遭遇后才开始拿资料,并没有从Sighting侧录,否则出怪资料应该“更完整”才对,毕竟有许多一般玩家反应身旁明明有怪,可是Go Radar却没显示出来。
作者:
chris0701 (Quasimodo)
2016-08-15 23:20:00GoRadar应该是抓到之后再抓回去的吧~
作者:
wak (默艾)
2016-08-15 23:21:00告不告得成 和要不要告 是两回事暴雪先前有提告作弊程式商 只是失败 但提告的动作还是有
作者:
chris0701 (Quasimodo)
2016-08-15 23:28:00之前有说Go Radar的作者自己有做tweak 然后从里面挖
作者:
KTHID (KTHID)
2016-08-15 23:30:00完全看不懂推
作者:
go1717 (go一起一起当神)
2016-08-15 23:31:00我的帐号不是用google而是上官网另外申请的 也要Google授权的Token吗?
所以已经用过iv那些人现在只能等官方会不会大发慈悲放过了吗
RADAR本来就外挂 之前一堆屁孩还在那吵请一堆飞人探险队帮你找怪不是挂是什么
作者:
jameshcm (亿载金城‧武)
2016-08-15 23:36:00会有log留下,飞人也是,例如常常用高于步行速度却没走在路上,甚至穿越障碍物的,都会有记录。
最大问题还是Niantic有着宁可得罪八成玩家的习惯
作者: winiS (维尼桑) 2016-08-15 23:50:00
推结论,要嘛飞人bot搞个几十只,要嘛乖乖出门乱枪打鸟,不要拿本尊google帐号开玩笑
有高手,跟我猜到的很像,但我是分析被锁的推文,被锁的大多都有用APP查IV,被飞来飞去当雷达;而用PokeIV被Ban的人,大多数都说自己一天用非常多次,个人猜测PokeIV没拿你的帐号做坏事,可能是大量截取服务器资讯等,这需要大神解释,不然应该每个用过的都被Ban了。故我推测Niantic还没要Ban查IV的,目前可以放心,但也不代表未来不会Ban,建议大家别用类似网站和APP。
作者:
IBIZA (温一壶月光作酒)
2016-08-16 00:18:00用iv行为也跟用官方app一样啊..
作者:
tsub (tsub)
2016-08-16 00:22:00真的长知识
讲白了就是第三方取得你的帐号授权后干了哪些事情你根本不知道。但是这些事情会被log在官方的数据库内应该说他如果干了些坏事你也不知道个人是觉得单纯查iv去query 数据库去做限制就有点矫枉过正了
作者:
satan04 (钓鱼宝宝)
2016-08-16 00:41:00推专业 但我也不相信官方会ban单纯查IV的
作者:
asuka05 (__)
2016-08-16 00:43:00push
作者:
whatai (多多)
2016-08-16 01:36:00侧录封包后再仿照格式后 自己做出“真的”封包超简单的请搜寻wireshark官方除了用ip位置 gps位置去挡之外 没有办法阻挡这种做法即使是https也一样
作者:
abcccbbs (保险经纪人业务副理)
2016-08-16 02:04:00感觉好高深 看不懂 不过推原po用心~
作者:
gcobs (确认枪多)
2016-08-16 02:42:00必须推阿 真的是作弊程度差异而已,而且要帐号本身就很诡异
作者: Cardasakg (malinemo) 2016-08-16 02:53:00
推,我刚刚手机抓到没电改用电脑设定gps在家,查个iv和抓宠而已,之后登出电脑改用手机登入就被ban了
作者:
andy3020 (:+:One PEACE:+:)
2016-08-16 06:18:00浅显易懂!
作者: jk01 2016-08-16 07:46:00
专业
人很奇怪,自己再用就说那只是辅助。然后真被抓就再靠么说这也锁?我又没飞了!!
github就有在自己电脑查IV的工具不懂为何这么多人会冒风险去登别人网站查IVsession都来自同一个IP,官方迟早会出手
作者:
gmoz ( This can't do that. )
2016-08-16 10:38:00写这个人的人怎么可能不知道wireshark 侧录只是辅助验证
作者:
GohHiong (风中吃西瓜)
2016-08-17 08:28:00长知识
作者: popop1234 (波波) 2016-08-17 10:15:00
推详细