在游戲安全對抗過程中，有不少外掛的實(shí)現(xiàn)基于對游戲內(nèi)存模塊進(jìn)行修改，這類外掛通常會使用內(nèi)存修改器，除此之外，還有一種門檻相對更高、也更難檢測的

「注入掛」

。 據(jù)FairGuard游戲安全數(shù)據(jù)統(tǒng)計(jì)，在游戲面臨的眾多安全風(fēng)險(xiǎn)中，注入掛的占比高達(dá)17% 。如此高的占比，可見注入掛的危害嚴(yán)重程度。

FairGuard數(shù)據(jù)統(tǒng)計(jì)：游戲安全風(fēng)險(xiǎn)占比

注入掛的實(shí)現(xiàn)原理也十分多樣。Android 系統(tǒng)可采用 SO 注入、ptrace 注入、 Zygote 注入和感染 ELF 文件等方式實(shí)現(xiàn)。本文我們將重點(diǎn)講解 Frida 框架及其變種的注入原理及解決方案。

Frida 是一款動態(tài)插樁工具，可以將代碼插入到原生 APP 的內(nèi)存空間中，并進(jìn)行動態(tài)調(diào)試與修改。

Frida官網(wǎng)介紹

其注入原理是基于 ptrace 實(shí)現(xiàn)的，F(xiàn)rida 通過調(diào)用系統(tǒng) ptrace 向游戲進(jìn)程注入 frida-agent-xx.so 模塊，通過這個(gè)模塊與手機(jī)端安裝的 frida-server 通訊，從而實(shí)現(xiàn)一系列分析與 hook 操作，如 hook 游戲中己方角色的攻擊函數(shù)，實(shí)現(xiàn)“倍攻掛”等。

Frida 與 ida 聯(lián)合調(diào)試apk

由于 Frida 的配置環(huán)境簡單、操作便捷，支持Java 層和 Native 層 hook 操作，并且使用 python、JavaScript 等 “膠水語言”，大幅度降低了逆向分析、作弊修改的門檻，除此之外，F(xiàn)rida 還存在以下檢測難點(diǎn)： 變種眾多，F(xiàn)rida 作為一款成熟的開源工具，具有大量的變種及魔改版，如常見的 hluda-server ，這些變種可以隱藏 Frida 特征，繞過傳統(tǒng)的檢測手段，加大檢測排查難度。

作弊情況復(fù)雜，F(xiàn)rida 基于python 、 javascript 語言，可以通殺 Android、iOS、Linux、Windows 等平臺，在不同平臺上可搭配不同工具實(shí)現(xiàn)作弊。

針對游戲面臨的注入掛風(fēng)險(xiǎn)，F(xiàn)airGuard定制了專門的應(yīng)對策略，該方案已接入多款熱門游戲并驗(yàn)證了出色的保護(hù)能力。

主動識別惡意模塊機(jī)制

區(qū)別于市面上其他安全產(chǎn)品，需要獲取樣本后進(jìn)行外掛打擊，F(xiàn)airGuard獨(dú)家「主動識別惡意模塊機(jī)制」對可疑模塊進(jìn)行主動識別，搭配在線打擊功能做到主動防御，大幅縮短外掛排查周期。

反注入器功能

禁止使用Xposed、Frida等各種外掛模塊注入器，防止注入后修改游戲內(nèi)存等各種惡意行為，一旦發(fā)現(xiàn)立即閃退。

反調(diào)試功能

防止外掛作者對游戲進(jìn)行調(diào)試，阻止對游戲的靜態(tài)或動態(tài)分析，一旦發(fā)現(xiàn)立即閃退。

安全環(huán)境檢測功能

不同于市面上其他產(chǎn)品，F(xiàn)airGuard加固采用更底層的檢測手段，可精準(zhǔn)識別虛擬框架、虛擬機(jī)、越獄、ROOT、云手機(jī)等各類風(fēng)險(xiǎn)環(huán)境，并提供個(gè)性化閃退策略。 歡迎通過「站內(nèi)私信」了解產(chǎn)品信息、體驗(yàn)免費(fèi)試用