在游戲安全對抗過程中，除了常見的內(nèi)存修改、加速、破解等作弊手段，還有一類危害嚴(yán)重的外掛——

「注入掛」

。 據(jù)FairGuard游戲安全數(shù)據(jù)統(tǒng)計(jì)，在游戲面臨的眾多安全風(fēng)險中，注入掛的占比高達(dá)17% 。如此高的占比，可見注入掛的危害嚴(yán)重程度。

FairGuard數(shù)據(jù)統(tǒng)計(jì)：游戲安全風(fēng)險占比

注入掛的實(shí)現(xiàn)原理也十分多樣。Android 系統(tǒng)可采用 SO 注入、ptrace 注入、 Zygote 注入和感染 ELF 文件等方式實(shí)現(xiàn)。

本文我們將重點(diǎn)講解 Xposed 框架及其變種的注入原理及解決方案。

Xposed 框架操作界面

在 Android 系統(tǒng)中，所有應(yīng)用程序進(jìn)程都是由 Zygote 進(jìn)程孵化出來的，Xposed 的實(shí)現(xiàn)原理就是通過替換 /system/bin/app_process 程序來控制 Zygote 進(jìn)程。每當(dāng)游戲進(jìn)程啟動時，都會先啟動 Xposed 替換過的文件，并加載相關(guān)代碼，從而完成注入。 在完成注入后，可以使用 Xposed 框架的 Hook 功能，具體表現(xiàn)為：在目標(biāo)函數(shù)執(zhí)行之前或之后插入自定義的代碼邏輯，從而實(shí)現(xiàn)對函數(shù)行為的定制和修改。如 Hook 游戲中己方角色的攻擊函數(shù)，實(shí)現(xiàn)“倍攻掛”等。

LSPosed 框架自帶隱藏功能可躲避檢測

而作為一款早期的開源框架，Xposed 框架的功能性與兼容性也在不斷升級。衍生出了 EdXposed 框架，在此基礎(chǔ)上又兼容了 Magisk ，演變出了自帶隱藏功能來躲避檢測的 LSPosed 框架。

因涉及替換 /system/bin 文件，Xposed 框架的運(yùn)行需要設(shè)備提供 Root 環(huán)境，而在虛擬框架、虛擬機(jī)及部分模擬器中，恰好可以提供 Root 環(huán)境，大幅降低了 Xposed 的使用門檻。

部分可運(yùn)行 Xposed 框架的虛擬機(jī)、虛擬框架及模擬器

在作弊原理的角度看，Xposed 框架避免了傳統(tǒng)修改系統(tǒng)的方式，如重新編譯、刷寫ROM等。

Xposed 框架的修改方式更加靈活、方便，可在不影響應(yīng)用程序的簽名和完整性情況下，對游戲數(shù)值模塊、運(yùn)行邏輯進(jìn)行修改。并有以下幾個檢測難點(diǎn)：

變種眾多，Xposed 框架開源已久，具有大量的變種及魔改版，作弊角度更加多樣化，加大了檢測排查難度。

作弊情況復(fù)雜，Xposed 框架目前多置于虛擬機(jī)、虛擬框架中，通過搭配使用Magisk等插件，可以實(shí)現(xiàn)對游戲隱藏外掛工具進(jìn)程，來躲避檢測。

針對游戲面臨的注入掛風(fēng)險，F(xiàn)airGuard定制了專門的應(yīng)對策略，該方案已接入多款熱門游戲并驗(yàn)證了出色的保護(hù)能力。

主動識別惡意模塊機(jī)制

區(qū)別于市面上其他安全產(chǎn)品，需要獲取樣本后進(jìn)行外掛打擊，F(xiàn)airGuard獨(dú)家「主動識別惡意模塊機(jī)制」對可疑模塊進(jìn)行主動識別，搭配在線打擊功能做到主動防御，大幅縮短外掛排查周期。

反注入器功能

禁止使用Xposed、Frida等各種外掛模塊注入器，防止注入后修改游戲內(nèi)存等各種惡意行為，一旦發(fā)現(xiàn)立即閃退。

反調(diào)試功能

防止外掛作者對游戲進(jìn)行調(diào)試，阻止對游戲的靜態(tài)或動態(tài)分析，一旦發(fā)現(xiàn)立即閃退。

安全環(huán)境檢測功能

不同于市面上其他產(chǎn)品，F(xiàn)airGuard加固采用更底層的檢測手段，可精準(zhǔn)識別虛擬框架、虛擬機(jī)、越獄、ROOT、云手機(jī)等各類風(fēng)險環(huán)境，并提供個性化閃退策略。 歡迎通過「站內(nèi)私信」了解產(chǎn)品信息、體驗(yàn)免費(fèi)試用