近年來(lái)，游戲市場(chǎng)高速發(fā)展，隨之而來(lái)的還有圖謀利益的游戲黑產(chǎn)。在利益吸引下，游戲黑產(chǎn)擴(kuò)張迅猛，已發(fā)展成具有龐大規(guī)模的產(chǎn)業(yè)鏈，市面上游戲受其侵?jǐn)_的案例屢見不鮮。

據(jù)《FairGuard游戲安全2022年度報(bào)告》數(shù)據(jù)統(tǒng)計(jì)，2022年累計(jì)收集外掛樣本5826款，同比增長(zhǎng)52%;安全對(duì)抗更激烈，多項(xiàng)數(shù)據(jù)呈上漲趨勢(shì)，全年累計(jì)檢測(cè)游戲安全風(fēng)險(xiǎn)同比增長(zhǎng)96%。

因游戲作弊門檻低、游戲安全對(duì)抗不對(duì)等、黑灰產(chǎn)業(yè)鏈發(fā)展完善、法律維權(quán)門檻高等因素，游戲安全問題形勢(shì)愈發(fā)嚴(yán)峻，「游戲反外掛」已經(jīng)成了廠商的必修課。

FairGuard游戲加固基于十余年游戲安全對(duì)抗經(jīng)驗(yàn)，將從外掛實(shí)現(xiàn)原理及分類、游戲反外掛方案維度，結(jié)合案例進(jìn)行分析并與大家分享。

常見的游戲外掛攻擊方式有：注入、內(nèi)存修改、變速器、模擬點(diǎn)擊、抓包、虛擬環(huán)境、破解等。

注入掛案例分析

注入掛，顧名思義是將外掛模塊注入到游戲進(jìn)程空間中，同時(shí)執(zhí)行功能模塊的入口函數(shù)，多涉及內(nèi)存操作且功能豐富。

從注入過程上，Android系統(tǒng)一般采用SO注入、ptrace注入、 Zygote注入及感染ELF文件的方式。iOS系統(tǒng)在越獄后可以利用Cydia框架注入dylib實(shí)現(xiàn)。

開啟外掛并成功注入游戲后，通過外掛界面引導(dǎo)玩家使用功能，隨后調(diào)用接口函數(shù)以HOOK操作來(lái)掛鉤相應(yīng)函數(shù)、改寫參數(shù)或者通過調(diào)用邏輯，從而實(shí)現(xiàn)外掛功能。

與其他外掛類型相比，注入掛修改游戲代碼邏輯的方式更加靈活多樣，并且破解者會(huì)通過多種手段隱藏注入模塊，導(dǎo)致注入掛的排查難度更高、排查周期更久，對(duì)游戲造成的負(fù)面影響也更加嚴(yán)重。

內(nèi)存修改掛案例分析

內(nèi)存修改外掛是最常見的外掛種類，實(shí)現(xiàn)原理是通過內(nèi)存修改器來(lái)搜索、定位游戲內(nèi)存，再對(duì)數(shù)值模塊進(jìn)行修改。

針對(duì)游戲不同類型與玩法，內(nèi)存修改外掛會(huì)造成不同程度的危害，如：修改游戲內(nèi)角色的攻擊力的秒殺掛，修改游戲交易貨幣數(shù)量的無(wú)限金幣掛、修改游戲關(guān)鍵道具數(shù)量等，這類外掛會(huì)嚴(yán)重破壞游戲的公平性，引發(fā)正常玩家不滿。

exe模擬器修改掛

exe模擬器修改掛本質(zhì)上是內(nèi)存修改，但其以exe程序運(yùn)行在PC端，而游戲運(yùn)行在PC模擬器中。這時(shí)候，外掛不再讀寫游戲程序內(nèi)存，而是讀寫整個(gè)模擬器中的數(shù)據(jù)，通過反復(fù)定位，也可以實(shí)現(xiàn)內(nèi)存修改的效果。

這類外掛有兩大檢測(cè)難點(diǎn)：

● 無(wú)需開啟Root權(quán)限即可搜索內(nèi)存進(jìn)行數(shù)值篡改，讓以往的安全環(huán)境檢測(cè)方案難以排查。

● 游戲在運(yùn)行過程中，數(shù)值會(huì)實(shí)時(shí)變動(dòng)，進(jìn)行數(shù)值排查需要耗費(fèi)更久的周期，嚴(yán)重影響對(duì)抗效率。

變速掛案例分析

眾所周知，游戲在運(yùn)行中需要以幀為單位播放畫面，而計(jì)算每幀動(dòng)畫播放所需時(shí)間，則需要調(diào)用C庫(kù)函數(shù)來(lái)獲取系統(tǒng)時(shí)間。如：

// 獲取當(dāng)前精確時(shí)間

gettimeofday;

// 獲取系統(tǒng)時(shí)間

clock_gettime;

這類變速外掛的實(shí)現(xiàn)原理就是通過修改獲取到的系統(tǒng)時(shí)間，來(lái)加快或放慢游戲內(nèi)的時(shí)間流速。此外，部分變速外掛通過調(diào)用UnityEngine_Time_set_timeScale，傳入想要加速的倍數(shù)，來(lái)實(shí)現(xiàn)全局加速效果。

因游戲玩法不同，變速外掛會(huì)造成不同的影響，如音樂類、跑酷類游戲可以通過放慢速度，大幅度降低游戲難度。而涉及到養(yǎng)成的游戲則可以加速材料收集進(jìn)度，縮短游戲的養(yǎng)成周期。

這類外掛會(huì)嚴(yán)重破壞游戲的公平性，引發(fā)正常玩家不滿，如果不加以制止，會(huì)急劇縮短游戲的生命周期。

代碼篡改案例分析

部分外掛作者還會(huì)使用靜態(tài)分析與動(dòng)態(tài)調(diào)試相結(jié)合的形式，通過逆向分析手段直接修改游戲客戶端代碼邏輯來(lái)制作“破解版”。常見的破解版游戲會(huì)外置功能菜單，實(shí)現(xiàn)控制數(shù)值修改、去除廣告甚至內(nèi)購(gòu)破解。

這類破解版游戲會(huì)附帶一系列吸引玩家的外掛功能，其存在會(huì)嚴(yán)重?cái)D壓正版空間，對(duì)游戲收益造成直接影響。

游戲資源篡改案例分析

當(dāng)下游戲作弊的角度可謂五花八門，除了常見的作弊手段，外掛作者還會(huì)通過各種刁鉆的角度進(jìn)行作弊，如篡改游戲內(nèi)資源文件。

如FPS游戲中，外掛作者通過篡改游戲中地圖資源的材質(zhì)，將其修改成透明，實(shí)現(xiàn)了“透視”外掛功能。

相比其他外掛，這類資源篡改外掛角度更加刁鉆且難以排查，一旦出現(xiàn)這類外掛，會(huì)在短時(shí)間內(nèi)擴(kuò)散，造成非常嚴(yán)重的游戲平衡問題。

模擬點(diǎn)擊掛案例分析

常見的模擬點(diǎn)擊外掛可通過設(shè)置按鍵位置、按鍵順序、按鍵間隔時(shí)間等參數(shù)，制作自動(dòng)化模擬點(diǎn)擊腳本。

在特定的游戲環(huán)境下，選擇模擬點(diǎn)擊方案，從而實(shí)現(xiàn)自動(dòng)打怪，自動(dòng)任務(wù)，自動(dòng)掛機(jī)領(lǐng)獎(jiǎng)勵(lì)等功能。這類模擬點(diǎn)擊外掛，會(huì)對(duì)游戲平衡造成極大影響，破壞正常玩家游戲體驗(yàn)。

封包掛案例分析

在游戲運(yùn)行過程中，我們點(diǎn)擊某個(gè)按鈕或進(jìn)行某種游戲行為的時(shí)候，客戶端會(huì)按照跟服務(wù)器約定好的規(guī)則，將游戲行為請(qǐng)求和參數(shù)通過網(wǎng)絡(luò)封包發(fā)送給服務(wù)器，服務(wù)器收到請(qǐng)求后做出解析，將信息處理后反饋回客戶端，客戶端再將反饋信息進(jìn)行解析展示給玩家。

破解者通常會(huì)使用抓包工具，獲得游戲封包數(shù)據(jù)。當(dāng)破解者抓取到了封包數(shù)據(jù)并破解后，即可隨意篡改游戲內(nèi)上下行的數(shù)據(jù)，如游戲角色攻擊力、生命值、游戲內(nèi)勝負(fù)邏輯、投降判負(fù)邏輯等，從而實(shí)現(xiàn)一系列外掛功能。

虛擬環(huán)境案例

所謂虛擬環(huán)境，是指獨(dú)立于設(shè)備原有系統(tǒng)/破壞設(shè)備原有系統(tǒng)的環(huán)境，如：iOS越獄、Android Root、虛擬機(jī)、虛擬框架、云手機(jī)等。這類虛擬環(huán)境可以為外掛提供更高級(jí)別的設(shè)備權(quán)限，是游戲外掛滋生的溫床。

游戲如何應(yīng)對(duì)外掛問題?

面對(duì)日益龐大的游戲黑灰產(chǎn)侵?jǐn)_，游戲廠商亟需一支強(qiáng)大、專業(yè)的游戲安全隊(duì)伍。FairGuard以技術(shù)為驅(qū)動(dòng)，研發(fā)了多項(xiàng)業(yè)界獨(dú)家技術(shù)，搭建了針對(duì)不同場(chǎng)景及游戲類型的功能矩陣，可覆蓋游戲全場(chǎng)景安全問題。

• 反外掛功能

針對(duì)游戲?qū)⒚媾R一系列外掛修改風(fēng)險(xiǎn)，F(xiàn)airGuard研發(fā)了行為檢測(cè)方案，搭配200+維度的智能感知系統(tǒng)，可通殺各類外掛及其變種，做到有效防護(hù)。

• 防破解功能

FairGuard業(yè)界獨(dú)家「無(wú)API簽名校驗(yàn)技術(shù)」，對(duì)游戲的引擎與代碼進(jìn)行深度加密，并對(duì)游戲包簽名和文件完整性進(jìn)行多重校驗(yàn)，極大地減少被繞過的可能性，防止游戲被植入惡意模塊、剔除廣告等行為。

• 主動(dòng)識(shí)別惡意模塊機(jī)制

區(qū)別于市面上其他安全產(chǎn)品，需要獲取樣本后進(jìn)行外掛打擊，F(xiàn)airGuard獨(dú)家「主動(dòng)識(shí)別惡意模塊機(jī)制」可對(duì)游戲內(nèi)可疑模塊進(jìn)行主動(dòng)識(shí)別，搭配在線打擊功能做到主動(dòng)防御，大幅縮短外掛排查周期。

• 反注入器功能

禁止使用Xposed、Frida等各種外掛模塊注入器，防止注入后修改游戲內(nèi)存等各種惡意行為，一旦發(fā)現(xiàn)立即閃退。

• 反引擎級(jí)變速

深入游戲引擎底層，對(duì)引擎級(jí)的變速進(jìn)行深度檢測(cè)，獲取具體變速倍數(shù)，可實(shí)現(xiàn)精準(zhǔn)封號(hào)打擊或閃退處理。

• 變速無(wú)效化

采用FairGuard獨(dú)家無(wú)導(dǎo)入函數(shù)SO加殼技術(shù)，高強(qiáng)度加殼保護(hù)游戲內(nèi)代碼，經(jīng)大量實(shí)機(jī)測(cè)試，可無(wú)視任何變速器及其變種，使其變速功能無(wú)效化。

• 資源加密功能

FairGuard獨(dú)家資源加密方案，深入游戲引擎底層，結(jié)合游戲資源文件結(jié)構(gòu)及加載機(jī)理精心構(gòu)造。

可為游戲提供高強(qiáng)度加密保護(hù)，具備高兼容性、運(yùn)行消耗小、性能無(wú)影響的特點(diǎn)，支持Android/iOS/PC三平臺(tái)、支持資源在線更新。此外，方案進(jìn)行了特殊優(yōu)化，無(wú)需開發(fā)對(duì)接與接入，加解密對(duì)開發(fā)透明。

• 數(shù)據(jù)校驗(yàn)功能

FairGuard提供數(shù)據(jù)校驗(yàn)功能，可精準(zhǔn)校驗(yàn)游戲上下行數(shù)據(jù)，保證游戲通訊協(xié)議安全，避免出現(xiàn)封包掛、私服問題。

• 安全環(huán)境檢測(cè)

采用底層檢測(cè)手段，精準(zhǔn)識(shí)別游戲運(yùn)行環(huán)境，如：越獄、ROOT、虛擬機(jī)、虛擬框架、云手機(jī)等，并提供個(gè)性化閃退策略。

• 歡迎通過「站內(nèi)私信」了解產(chǎn)品信息、體驗(yàn)免費(fèi)試用