暗区突围外挂-最新稳定版外挂下载腾讯游戏安全也来了,前面看到其他友商也回复了不同类型游戏所面临的安全风险。腾讯游戏安全在这里还想从技术科普的角度,来补充以下几点,要想了解反外挂的手段,首先得知道,外挂的实现原理,文章最后是腾讯游戏安全分享的反外挂的干货,内容有点长,旨在给真正想了解反外挂的爱好者和行业从业者带来一点启发。
什么是外挂
外挂,原指一切用来破坏游戏程序正常游戏数据和逻辑的工具或破解版。比如可以修改游戏内存数据的修改器,又比如可以修改网络数据包的抓包工具。这类外挂或多或少会影响游戏的内存数据、文件数据、网络数据,甚至代码逻辑。
但随着外挂市场的发展,外挂衍生出其它恶意变种。这类外挂不会影响游戏数据和逻辑,例如脱机挂、模拟器和脚本精灵。脱机挂是外挂作者逆向游戏协议后独立开发的非法客户端,能让玩家节约很多时间多开刷游戏;模拟器能让玩家在PC上玩移动游戏,在FPS等游戏上能获得更好的操作环境,从而帮助玩家变相碾压对手;脚本精灵则是能录制模拟玩家行为,对游戏事件进行响应,实现自动刷金币经验等功能。但这几类新兴外挂有个共同特性:即是欺瞒游戏服务器,欺瞒客户端、设备和操作者。
结合上面分析,可以给出一个更适合当下游戏安全状况的外挂定义:破坏游戏客户端正常数据和代码逻辑,或伪造游戏客户端操作状况的工具或破解版。
外挂的分类
无论端手游,市面上已经出现过大量外挂样本,根据其特征可整理如图所示分类图。
外挂的分类
外挂可分为两大类:辅助和破解版,这两类外挂的核心区别在于:是否需要依赖游戏客户端。辅助类外挂是需要结合游戏客户端运行的;而破解版则是可独立运行的非法客户端。
辅助:辅助类外挂需要依赖游戏客户端,不能独自生效。根据其作用范围可以再划分为两个小类:专用插件和通用工具。
专用插件
专用插件类外挂,作用范围只针对特定游戏,属于定制化外挂。其存在形式依据平台不同而有所区别,在Android下以SO形式,而在IOS下以dylib形式。其内部集成了多款Android手游功能插件,针对不同手游注入不同SO实现外挂功能。类似的IOS上也出现过相关辅助,针对多款热门手游注入不同Dylib实现无敌、秒怪功能功能。这类专用插件外挂,外挂功能较为灵活,一般都可随时关闭或者开启。
通用工具
顾名思义,通用工具是针对所有游戏,其支持的是通用功能。
内存修改器,用来搜索修改游戏内存数据。在Android平台上较为主流。玩家一般根据游戏面板中的精确数据,利用修改器搜索相应数值,再根据数值变化规律多次搜索排除定位到相应属性在内存中的位置,直接修改成夸张效果值。后期也有各种变种,比如模糊搜索,仅通过数据变大变小来搜索;加密搜索,带有反简单加密(异或加密等)功能搜索。这类修改器外挂,常见外挂功能是改人物属性实现秒怪、无敌等。
变速器,加快游戏节奏,节省玩家时间;或者减慢游戏节奏,减低操作难度。其影响游戏帧更新频率,可实现加速过关、减速躲技能等外挂功能。常见外挂功能均是在游戏对局中,利用变速器加速功能,主角和怪物AI的攻击节奏加快,能快速结束战斗。
按键精灵,模拟用户按键。简单版本是直接录制一段固定按键序列,然后循环模拟该按键序列。后续发展成可识别图像触发特定按键。常见于刷部分等重复性操作较多的手游。比如某飞机游戏中,可利用按键精灵随机移动飞机刷副本攒取金币经验。
模拟器,让玩家可在PC上运行手游。这类工具是在PC端运行。由于PC有较好的鼠标、键盘操作手感,这类外挂工具用在FPS或格斗手游上。FPS上能快速滑动视角瞄准开枪,格斗手游上能风骚走位释放连招等。
抓包工具,用于拦截游戏的上下行数据包,可篡改、重发、丢弃。针对没有进行协议加密的游戏,这类外挂工具的危害较大。比如某格斗游戏中曾出现下发人物属性数据包是明文的现象,被玩家发现后玩家直接修改相应属性成较大值即实现了秒怪功能。该工具主要是利用游戏协议方面的漏洞,一方面是协议内容是否加密好;另一方面是协议设计是否存在逻辑漏洞(重发、丢弃数据包是否会出现外挂功能)。
破解版
破解版类外挂本质上是一个非法客户端。常见能分为两类:脱机挂和小修小改的破解版。
脱机挂,是外挂作者基于游戏协议的分析,自己开发的一个游戏客户端。通常情况下,这类客户端都可用来多开直接刷副本等功能,收益巨大。工作室对这类外挂的需求较大。
受损破解版,这里采用受损来定义是因为此类破解版是基于正版客户端修修改改实现的。其功能相对辅助类外挂灵活性不够,一般是一类破解版固定开启一类外挂功能,游戏过程中无法关闭。
外挂实现原理
不同类型的外挂,其实现原理相差较大。这里根据上述每个外挂分类介绍下其大致实现原理。
辅助
辅助类外挂是基于游戏客户端,动态修改游戏数据类型外挂。
专用插件
专用插件类外挂,属于定制化外挂,每个外挂只针对一款游戏。这类外挂的实现顾名思义,是插件形式:利用注入技术将功能模块注入到游戏进程空间中,并执行功能模块入口函数。
外挂功能模块在被注入到游戏进程后,会执行HOOK操作实现外挂功能。
在底层汇编,HOOK操作可以理解为在特定代码地址,增加个跳转指令跳转到外挂作者自定义函数中。
因此,专用辅助可以很灵活修改游戏代码逻辑,通过多次回调怪物扣血函数实现秒怪、通过屏蔽玩家扣血函数实现无敌等。
通用工具
该类外挂工具,平台或者游戏引擎相关,跟具体游戏无关,实现的是跨游戏的一类外挂功能。
内存修改器,其功能本质是实现对指定进程内存数据的读写。其实现技术主要体现在如何读写游戏内存数据上。
变速器,影响游戏时间度量。通常游戏需要以帧为单位播放画面,播放画面过程中计算每帧动画播放所需时间(也可理解为两个画面切换的间隔时间),游戏需要调用C库函数获取系统时间以供计算每帧更新。
按键精灵,调用系统API,发送特定操作序列,模拟用户按键。这类外挂功能的实现,和系统相关性较大,因为其实现是通过相应系统API发送操作事件模拟全局按键。
模拟器,让玩家可在PC上运行手游。PC上的模拟器,其核心实现,还是基于VirtualBox模拟Android系统,可直接模拟x86架构的Android系统。
抓包工具,本质是网络数据包编辑器。一类实现方式是基于硬件,比如让网卡处于混乱模式,即可拦截数据包;另一类则是通过HOOK,针对send和recv类函数进行拦截,获得网络数据包。
破解版
破解版是通过事先静态修改后的独立的游戏客户端。
前面提到的一种脱机挂,在端游上盛行一时。外挂作者前期逆向分析了游戏的网络协议后,可自己编写独立三方客户端。这类外挂技术难度较高,主要体现在逆向分析游戏协议上面。
另一类则是对游戏客户端修修改改后实现的游戏破解版。可以根据修改的客户端数据不同分类:逻辑代码和数据资源。
分析调试,这类实现效果和替换法一样,但其前期是通过静态分析或者动态调试分析确认资源的作用和加密方式。
因此,反外挂,其实就是检测游戏是否被以上的辅助、插件、和通用修改工具甚至是定制化的外挂工具所攻击。下面,以最难对抗的FPS游戏外挂为例,向大家分享一下,为何FPS游戏外挂难以对抗,以及腾讯游戏安全是如何对抗的?(FPS游戏外挂的多样性、复杂性在游戏安全领域中极具代表,可以说能做好FPS游戏外挂对抗,其他类型的游戏都不在话下)
外挂为何如此“青睐”FPS游戏?
外挂肆虐的根源
首先,FPS游戏品类存在天然“缺陷”。为保障射击类游戏的流畅度体验,许多玩法的计算逻辑需要放在客户端本地进行,无法采取服务计算校验的方式。这种方式和卡牌等无需注重客户端实时计算体验的游戏品类有很大不同。大量计算逻辑放在客户端,也就为外挂作弊埋下了伏笔,这正是射击类游戏作弊门槛低、容易被外挂侵袭的原因所在。
除了易被外挂侵袭外,在FPS游戏里作弊的收益也是极高的。因为游戏爆头高伤害特性,外挂作者只需将枪械数据自动锁定到对手头部,使用者就能轻松享受“虐杀快感”。对于开启“锁头挂”的玩家完成“一对多”也是轻而易举的事情,这也是射击游戏外挂泛滥的原因之一。
由于“锁头挂”作弊功能太过明显,很容易被反作弊系统打击,所以一般“锁头挂”的生命周期并不会太长。但有一种相比锁头挂更加隐性、玩家更难感知到的外挂——透视外挂。这类外挂也严重影响了游戏平衡,而且只要使用者刻意伪装,那么这种作弊行为在实际的技术对抗中非常难以被判别。在许多游戏场景下,虽然透视外挂实际影响不比“锁头挂”,但却胜在更加“稳定”。所以透视外挂是坐挂车、组队刷分等恶意行为的常用作弊手段。
更隐性的外挂手段
常规的修改数据类外挂,从技术手段入手还是比较容易识别,但跨进程类的外挂就更难防御了,它是独立于游戏的第三方进程,以高权限方式跨进程读取游戏关键逻辑数据,通过进程外绘制实现透视等外挂功能。跨进程透视外挂只读取游戏关键数据,游戏逻辑层执行没有任何异常,游戏无法感知到外挂进程相关的详细信息。所以一般的反作弊手段是无法处理此类外挂的。
除了跨进程类透视外挂,还有一种也难以处理的外挂类型——修改shader类作弊方式,该作弊方式是通过修改shader数据可以影响GPU的渲染过程,可以实现人物渲染类透视、人物上色、除草除树等功能。
此外,除了手机端的作弊之外,在PC通过模拟器运行手游的同时使用外挂,也已成为作弊玩家的“常规操作”。在PC上使用外挂,对于运行在模拟器环境里的手游内的安全方案来说无疑是“降维打击”。因此,模拟器外挂也需要专门的检测对抗机制。
明白了这些原理以后,再来定制反外挂方案就会更加有的放矢。
腾讯游戏安全是如何“破局”FPS外挂难题
SDK防护系统
游戏发布后,最容易遇见的是破解版问题。带有外挂功能的破解版游戏在市面上广泛流传,如果游戏团队没法阻止的话,对于游戏的危害显然是巨大的。针对破解版问题,腾讯游戏安全具备最适合游戏的加固方案,通过游戏逻辑加密和资源文件保护校验等方式,针对性解决游戏破解版的问题。
与此同时,实现外挂功能,最常见的就是使用外挂插件,修改游戏数据、内存等方式,对于这类型的作弊手段,腾讯游戏安全 SDK防护系统就能很好的应对,在开启该系统后,SDK会针对多个维度进行监测,如校验到外挂作弊将会及时令客户端闪退(修改器、变速器、虚拟机等违规行为都会触发闪退策略)。
安全环境监测
此外,在安全环境监测方面,腾讯游戏安全针对模拟器、云手机等环境具备完善的多层级监测方案,能够覆盖市面上主流的模拟器和云手机,同时具备对新样本的快速覆盖能力。游戏可以根据监测结果灵活的制定应对策略,例如:禁模拟器、模拟器玩家匹配隔离等。
核心反外挂机制
除了常见的通用外挂之外,游戏火起来之后就容易受到定制化外挂的侵害。腾讯游戏安全具备体系化的外挂对抗运营机制。对于市面上的新型外挂或者一些专门的定制挂而言,有时候基础的SDK防护系统不一定能及时对抗掉,这时候,腾讯游戏安全团队会针对外挂进行针对性分析,确认作弊方法和作弊逻辑后,通过核心的动态反外挂机制进行针对性的对抗。
其中采用了多种游戏安全技术,这里举两个例子,比如游戏安全中的蜜罐技术,常见的透视挂不是直接攻击游戏或修改游戏,而是在游戏进程外像侦察机一样偷拍观察游戏,蜜罐技术就像个敏感的雷达一样,只要探测到可疑的目标在偷窥游戏,就会发出警报,进行打击;
再比如,腾讯游戏安全团队还开发了基于游戏回放的Replay数据检测技术,Replay 数据检测就是游戏中24小时不停歇的智能监控系统,能精确还原游戏中发生的一切。可基于对局行为中的大数据训练出了自己的AI算法,通过算法来判断用户的行为是否有开挂嫌疑。在射击类游戏中,假如玩家看不到敌人,却提前把枪口朝向敌人潜伏的位置,并且屡次以这种方式完成击杀,那么Replay就会判断他开挂的嫌疑较大,这时就会介入人工二次审核。
当然,以上列举的,仅仅是腾讯游戏安全反外挂运营体系众多能力中的两个,前阵子我们也做了一个视频介绍,有兴趣的小伙伴也可查看以下视频。
恶意游戏行为危害不容小觑
除了外挂,近些年各种恶意行为也是严重影响了游戏正常运营,常见的坐挂车、演员等行为都在疯狂荼毒游戏。对于此类恶意行为腾讯游戏安全的后台策略能力应对经验也十分丰富。
腾讯游戏安全的后台策略团队基于安全团队十余年积累的丰富模型,拥有各种游戏类型中的多类恶意行为识别能力,面对恶意游戏行为,策略会通过分析游戏数据、匹配模型样本的方式来判断出玩家间是否存在非正常关系。
(演员和老板通过局前卡匹配的方式,匹配到同一局的不同阵营,达到操控比赛输赢的目的)
作弊处罚流程全面,解决后顾之忧
腾讯游戏安全对作弊用户的处罚流程同样非常成熟。针对被处罚的帐号,腾讯游戏安全会主动复核处罚账单、迭代策略、确认并提升处罚准确性;定期公示被处罚玩家名单以树立品牌形象;提供处罚查询服务、处罚申诉等玩家服务,线下刑事打击溯源外挂源头。
处罚复核流程图
游戏外挂是各类游戏安全问题之首,对于FPS游戏,更是如此,在面对复杂的外挂形势,游戏厂商需要一支强大的安全对抗队伍。但是组建这样一支队伍,也并非一朝一夕之事,除了要有技术人员多年的沉淀积累,也需要厂商有足够多的游戏大数据做基础支持。天时地利人和缺一不可,专业的事情交给专业的人,游戏厂商在应对外挂问题时,或许一个合适而专业团队和方案是性价比最高的。
目前,全球知名的FPS游戏、和平精英、PUBGM、CODM、生死狙击1、生死狙击2、穿越火线等,都已经采用了腾讯游戏安全的反外挂方案。
当然,上面重点说的,还是以最难摆脱外挂困扰的FPS游戏为例,在实际运营过程中,还有很多各种各样的安全问题,在我们去年发布的《2021游戏安全白皮书》里也提到,不同游戏面临的问题,有所侧重,如下图所示
来自腾讯游戏安全发布的《2021游戏安全白皮书》
详情大家可自行到Anti-Cheat Expert游戏安全专家W-X上,回复“白皮书”自行下载。
读到这里的你,一定是游戏技术狂热者,又或者是游戏开发者,对自己的游戏珍视至极。在文章最后,我们想给大家再分享一下,去年媒体采访腾讯游戏安全业务负责人的一则报道,里面详细地讲解了当前游戏安全的形势,其实除了游戏外挂,游戏面临的问题还有游戏黑产打金工作室、游戏内容安全问题、代练、演员等衍生问题,在报道中也一一提到,或许大家可以先点赞收藏,方便下次查阅。
报道原文:外挂、诈骗、工作室……面对游戏黑产,腾讯会怎么做?
如果大家对我们的游戏安全能力感兴趣,也可到我们官网查看申请使用。ACE腾讯游戏安全
