记录wireshark抓包第一步

1. 如何用wireshark之抓取tcp的包
因为电脑连接WiFi进行抓取模拟器上的包 所以网卡选择WALN，

过滤器里输入tcp就可以了再选择网卡

2.如何确定一个tcp连接是游戏的登录连接
点开以后不断地进行数据交互 不断地有tcp弹出才是登录连接

3.如何查看抓包的数据
第一步：

第二步：
将ASCLL码转换为16进制

4.常见的网路字节序有哪些
https://www.cnblogs.com/52php/p/6114080.html 详见
网络字节顺序是TCP/IP中规定好的一种数据表示格式，它与具体的CPU类型、操作系统等无关，从而可以保证数据在不同主机之间传输时能够被正确解释。网络字节顺序采用big endian排序方式。
为了进行转换 bsd socket提供了转换的函数 有下面四个
htons 把unsigned short类型从主机序转换到网络序
htonl 把unsigned long类型从主机序转换到网络序
ntohs 把unsigned short类型从网络序转换到主机序
ntohl 把unsigned long类型从网络序转换到主机序

在使用little endian的系统中 这些函数会把字节序进行转换
在使用big endian类型的系统中 这些函数会定义成空宏

同样 在网络程序开发时 或是跨平台开发时 也应该注意保证只用一种字节序 不然两方的解释不一样就会产生bug.

5.什么是小端字节
不同的CPU有不同的字节序类型，这些字节序是指 整数 在内存中保存的顺序，这个叫做 主机序。

最常见的有两种：

1．Little endian：将低序字节存储在起始地址

2．Big endian：将高序字节存储在起始地址
LE little-endian（小端）
最符合人的思维的字节序；
地址低位存储值的低位；
地址高位存储值的高位；
怎么讲是最符合人的思维的字节序，是因为从人的第一观感来说；
低位值小，就应该放在内存地址小的地方，也即内存地址低位；
反之，高位值就应该放在内存地址大的地方，也即内存地址高位；
BE big-endian（大端）
最直观的字节序；
地址低位存储值的高位；
地址高位存储值的低位；
为什么说直观，不要考虑对应关系；
只需要把内存地址从左到右按照由低到高的顺序写出；
把值按照通常的高位到低位的顺序写出；
两者对照，一个字节一个字节的填充进去；

例子：在内存中双字 0x01020304(DWORD) 的存储方式

内存地址
4000 4001 4002 4003
LE 04 03 02 01
BE 01 02 03 04

例子：如果我们将0x1234abcd写入到以0x0000开始的内存中，则结果为

  big-endian  little-endian

0x0000 0x12 0xcd
0x0001 0x34 0xab
0x0002 0xab 0x34
0x0003 0xcd 0x12

6.u3D手游的关键代码在哪个文件中
游戏文件--->assets--->Android--->firstPackage 是游戏的资源文件
F:\work\新剑灵世界\assets\Android\firstPackage

是手游的关键代码

7.使用什么工具反编译c#

因为此手游逻辑代码是用c#编写 所以我们用dnSpy来反编译
（注：游戏代码是经过加密的 因此需要先解密才能进行反编译）

8.反编译后，如何搜索关键代码
（1）先将解密后的游戏代码拖入文件框

（2）点击放大镜进行搜索，会弹出如下界面：

这里可以选择我们所需要的类型