網絡游戲外掛與反外掛的研究

序

你見到過哪些NB的外掛？

外掛的分類：

反外掛的分類：

國內外當前的狀況

國外

國內

外掛的研究

1.模擬類

2.內存修改類外掛

3.封包類外掛

3.脫機類外掛

網絡游戲封包加密技術

異或加密

RC4 加密

RSA 加密

網絡游戲外掛檢測技術

鼠標鍵盤模擬檢測技術

游戲數據修改檢測技術

外掛實現(xiàn)與反外掛舉例

射擊類外掛

游戲實現(xiàn)要怎么預防呢？

雜談

序

全球的網絡的幾乎普及到了每個角落，伴隨著全球經濟的發(fā)展與進步，游戲行業(yè)的玩家越來越多，許多違法犯法的活動也在網絡游戲行業(yè)越來越多，也變得越來越多樣化。例如 FPS 射擊類游戲，這種以自由射擊為藍本的的競技類游戲，深受網絡外掛的毒害和侵擾，極大地破壞了競技類游戲的公平性，由于競技類游戲的功利性，很多新手玩家想要獲得成就感，給外掛提供了滋生的環(huán)境，并且這類游戲的一些關鍵數據只能保存在本地客戶端，不能實時上傳服務器導致了外掛的泛濫，而外掛制作者通過售賣外掛非法獲得巨額利潤，所以防御和解決網絡游戲中的非法行為已經迫在眉睫。

你見到過哪些NB的外掛？

CF：

透視（能用另一種顏色標識墻后敵人），

自瞄（瞬間自動瞄準敵人），

自動開槍（當槍在敵人身上會自動開火），

飛天（人能走到地底下），

遁地（同上），

無后座力（一般開槍，瞄準方向會上揚）

遠程裝包（C4遠程安裝）

DNF：

人物變大型外掛（這類外掛可以讓角色瞬間變超大，技能也會隨之變大）

全技能無消耗 （就是任何一個職業(yè)可以使用這個職業(yè)所有技能）

召喚某一個東西（召喚一些強力的怪）

全圖秒殺 （一鍵全圖的怪都死了）

召喚怪物類 （召喚一只或多只地下城里的怪物來幫你刷圖）

冒險島：

飛天，吸怪，無敵，自動攻擊

QQ炫舞：

自動perfect

爐石傳說：

自動上分（利用深度學習，自動戰(zhàn)斗出牌）

LOL：

自動躲技能，神走位，自動戰(zhàn)斗

韓服一些游戲（檢測很弱）：

修改本地txt的幾個0 1

以上只是舉一些例子，其實游戲外掛已經有很多很多了，在國外深圳有專門的論壇去學習，分享外掛制作的方法，比如看雪：link.

外掛的分類：

現(xiàn)如今游戲外掛的種類繁多，而且是每個網絡游戲對應一種系列的外掛，針對某一個游戲，其外掛商家可能就多達 100 多家，而這些外掛所提供的的針對該游戲的功能達到幾十種，所以面對這么多的外掛很有必要對外掛做一些分類，方便分析和總結外掛的技術和特點，傳統(tǒng)的外掛分類方法籠統(tǒng)的把外掛分為兩大類：非修改游戲數據類外掛和修改數據類外掛，其具體功能如下：

分類 功能

非修改游戲數據類外掛 通過模擬鍵盤鼠標操作，將網絡游戲中很繁瑣的動作或者重復的無聊的很費玩家時間的流程和任務使用外掛幫助玩家完成，達到方便和解放玩家的目的

修改游戲數據類外掛 修改游戲數據類外掛是由外掛獲取服務器與客戶端通信產生的網絡游戲封包進行修改或修改客戶端本地的內存數據，并將這些修改后的封包或者內存地址發(fā)送給服務器端，得到外掛想要的結果和數據，外掛通過修改封包信息和客戶端內存地址，使角色人物的屬性和狀態(tài)發(fā)生改變

反外掛的分類：

由于在國外像魔獸世界這類大型網絡游戲的盛行，K. Park 等人針對該類游戲的外掛進行研究，并把此類游戲的外掛進行了總結分類，分別為針對服務器攻擊的外掛、針對客戶端數據攻擊的外掛、針對網絡流量攻擊的外掛以及針對正常玩家攻擊的外掛，并把游戲外掛的檢測方法分為三類，即玩家客戶端檢測，游戲網絡通信檢測和游戲遠程服務端檢測，如下表：

分類 方法 實例

用戶端 開發(fā)商的反作弊系統(tǒng) 騰訊的TP，Valve的VAC

用戶端 第三方反外掛開發(fā)商的反作弊系統(tǒng) 絕地求生采用的BettleEye 系統(tǒng)

用戶端 用戶舉報以及人工巡檢系統(tǒng) 幾乎所有的游戲都會做這樣的系統(tǒng)

網絡通信 監(jiān)控流量，往返的時間值的比較 現(xiàn)在比較普遍的手段

網絡通信 封包數據加密 現(xiàn)在比較普遍的手段

服務器 分析玩家的游戲日志是否異常 夢幻西游，地下城

服務器 不定時的圖片驗證或者數字問答驗證 問道

國內外當前的狀況

國外

Ronald L.Rivest 等人研究了玩家客戶端向服務器發(fā)送數據封包命令的情況，監(jiān)控了不同時間段的不同的流量總量的情況下，在使用外掛時與正常游戲時的流量變化的不同之處，以此來作為識別外掛的手段。David A.solomon 等人指出，脫機類外掛及機器人類的外掛在數據流量上會體現(xiàn)出一定的規(guī)律性，并會表現(xiàn)出數據包發(fā)送具有固定的時間間隔和頻率極快的特點。William R.Cheswick 等人根據行為分析的方法，利用機器人操作與玩家操作的不同之處，分析兩者之間的差異特征，研究正常玩家的行為日志和機器人的行為日志，通過分析對比找出外掛使用者。Matt Pietrek 等人使用玩家角色的路徑分析方法，玩家正常游戲時的移動路徑是變化的，隨機的，走相同的路有不同的路徑，而機器人外掛操作的角色經過相同地點時的路徑點大部分是重復的，通過對比玩家角色的路徑，會發(fā)現(xiàn)使用外掛會反復出現(xiàn)相同的路徑坐標，所以可以以此數據來檢測玩家是否使用外掛。用戶端的反外掛系統(tǒng)，會為玩家?guī)砗芏嗖槐悖洺c系統(tǒng)平臺和其他相關軟件發(fā)生沖突。例如，在用戶端加上外掛監(jiān)測機制，但是程序本身對游戲沒有任何益處，而且加重玩家電腦的負擔，并且即使檢測到外掛，也只能檢測當前的用戶，只有一個違法行為，且不法分子完全可以針對該程序設計逃避檢測方法。而對于網絡通信的檢測方法早已過時，現(xiàn)在所有的游戲都有網絡通信的時間驗證和流量監(jiān)控，時間加速類外掛也不存在了，不法分子的外掛制作更加高級和隱蔽，網絡通信的檢測辦法已經對當前的外掛無能為力。為了克服客戶端和網絡端檢測的缺點，游戲開發(fā)商們和第三方反外掛機構都將重點檢測機制放在了服務器端，尤其通過對玩家的行為日志分析檢測，判斷該游戲人物是否存在異常。

如今國外存在防御外掛的方法有很多，但是效果比較好且比較流行的有：角色行為分析，角色移動路徑分析，數據包驗證，彈出事件檢測。在玩家游戲時，彈出圖片類驗證碼測試，玩家可以很容易解決，但是如果存在脫機外掛代替玩家自己操作人物，那么外掛就很難識別，游戲系統(tǒng)就可以判斷出該角色是否是脫機掛玩家，但是由于如今人臉識別和圖像處理技術的提高，圖片中的關鍵字和數字已經很容易檢測出來，這種反外掛方法作用也越來越小。

國內

國內的外掛其歷史可以追溯到單機游戲時代，那時它的名字是游戲修改器，因為其可以在游戲中追蹤鎖定游戲角色的各項數據參數，通過修改各項參數來降低游戲難度，使玩家更容易在游戲中得到樂趣。隨著國內經濟發(fā)展以及互聯(lián)網普及度越來越高，網絡游戲也應運而生，游戲外掛功能也變得越來越強大，在原有的基礎上增加了很多新的功能，騰訊的網絡游戲《地下城與勇士》，外掛種類和功能多種多樣，例如：秒怪、瞬移、順圖、無敵、透明、加三維、加移速、自動補血等，利用這些功能可以在游戲中輕松打怪練級爆裝備，讓外掛玩家輕松升級做任務。為了阻止網絡游戲外掛的蔓延和維護自己應得的權益，國內網絡游戲開發(fā)商制定了很多的反外掛系統(tǒng)和措施來預防和檢測網絡游戲非法外掛，但效果都不太好，比如地下城與勇士，游戲從發(fā)行到現(xiàn)在已經 10 年之久，但是外掛一直存活至今，甚至公然在游戲中喊話賣外掛。隨著技術的創(chuàng)新和發(fā)展，國內的反外掛系統(tǒng)也有了自己的成果，下文主要對國內的四類反外掛系統(tǒng)做了說明。

第一種方法是驗證分析方法。驗證分析方法檢測的是脫機外掛，脫機類外掛危害最大，破壞游戲平衡，造成客戶端與服務器通訊擁堵，引發(fā)游戲中的物價的上漲和暴跌，最終導致游戲的金錢系統(tǒng)崩潰，流失大量玩家。驗證分析法的檢測原理是：在游戲人物休息時，彈出不確定的驗證碼，讓玩家手動輸入答案，來區(qū)分機器人外掛和玩家。驗證分析方法有兩種類型的驗證分別為：驗證碼識別技術和圖像驗證技術。驗證碼識別技術(Gimpy)是服務器端隨機從數據庫中抽取一定比例的數字和一定比例的漢字，發(fā)送到玩家的客戶端，讓玩家進行識別驗證，判斷操作該游戲角色的是機器人托管還是玩家本人[12]。圖像驗證(Pix)的方法和它只有輕微的差別，圖像驗證技術的數據庫是各種各樣的圖形，讓玩家選擇不同的符合要求的圖形來驗證其身份，這兩種方法都是比較常規(guī)的方法，利用機器人外掛的判斷邏輯漏洞來進行識別和驗證其真實身份。由于圖像識別技術的發(fā)展和提高，這兩種方法都被不法分子利用圖像識別技術自動識別填寫內容，效果越來越差，國內的游戲開發(fā)商又發(fā)展新的驗證辦法如：圖像或者文字歸類驗證方法和玩家聲音識別驗證方法。這兩種方法能有效的識別出機器人，但是其占用資源大，并且不夠直接，影響玩家游戲體驗，降低游戲的可玩性。并且該檢測方法具有最大的弊端是檢測時間是比較隨機和不確定的，極有可能在玩家操作角色的關鍵時刻彈出驗證信息，導致操作失敗或者對局失利，及其影響玩家體驗，所以在如今的網絡游戲中這種驗證分析技術使用的越來越少，逐漸被淘汰，退出了歷史舞臺，但是這種技術在其剛開發(fā)的初期，對于外掛的檢測，尤其是脫機類機器人外掛提供了很大的助力。

第二種方法是對服務器和客戶端的通信數據進行加密的方法 。它的原理是通過對傳送數據的加密，讓服務器與客戶端的通信數據進行交互及校驗時，其通信數據不被泄露，如：地下城與勇士游戲，玩家在通關本局時，通關評分是 S，外掛找到其數據，修改為 SSS 評分，然后客戶端把修改后的數據發(fā)送給服務器端以達到其增加游戲評分的目的，但是如果在游戲設計的時候增加一個加解密過程，先對需要通信的數據進行加密，然后發(fā)送給用戶端，那么該數據外掛就無能為力。雖然對通信數據添加加解密這樣的過程能夠有效的阻止外掛對其的修改，但是整體增加了游戲服務器的負擔，影響游戲的整體流暢度和效率，而且其加密秘鑰也容易泄露，因為其解密在客戶端進行，而客戶端已經下載到玩家電腦上，所以外掛制作者們費一些功夫就能找到該解密秘鑰，所以該方法存在很大的安全隱患。

第三種方法是阻斷網絡游戲外掛程序的方法。該方法的原理是在游戲客戶端啟動執(zhí)行的時候，附加外掛檢測手段，查看電腦中是否有修改本地內存的操作或者權限的軟件在運行中，若檢測到立馬終止其操作，如果不能阻止那么立馬阻止游戲客戶端的啟動，防止客戶端被調試或修改。但是該方法同樣被外掛制作玩家破解，外掛制作者完全可以在客戶端截獲從服務器端發(fā)來的監(jiān)測數據packet，然后偽造檢測數據，外掛已經修改了一個地址，但是改地址會被檢測，那么根據被檢測的地址偽造數據，返回被修改前的數據，這樣無論外掛修改了哪個地址都不會被檢測到。

第四種方法是一種防止網絡游戲外掛軟件的集成辦法。該辦法比前面三種更為強大和全面，它不僅能保護游戲數據的安全，對數據進行加密更能對外掛進行有效的檢測。該方法主要是從三個方面進行防護:

提供數據游戲封包數據加密方法。

提供游戲外掛的檢測系統(tǒng)。

具有防御外掛的裝置。

但是這種方法是通過從玩家客戶端的數據和服務器的數據進行分析對比，來判斷是否存在非法行為，外掛制作者利用封包分析工具 WPE 發(fā)送相同的數據，選擇最好的結果的數據，比如評分最高的數據，并不修改數據本身的內容，使得該外掛檢測系統(tǒng)識別不出來。

當前的反外掛技術都存在或多或少的漏洞，游戲一旦發(fā)布就會面臨著世界上所有黑客的攻擊和分析，找出其漏洞來獲取非法利益，所以反外掛道路任重而道遠。

外掛的研究

1.模擬類

模擬類外掛是代替玩家操作鼠標鍵盤，模擬玩家操作類的程序，它能幫助玩家用簡單的操作實現(xiàn)讓游戲角色進行復雜的動作，簡化甚至替代玩家操作，幫助玩家不用點擊鼠標或者敲擊鍵盤就可以進行游戲操作的自動功能。例如:簡單的射擊操作、簡單的移動操作、撿東西等，這類外掛不需要分析游戲的數據和加密算法，只需要按照一定規(guī)律或順序設計一組按鍵操作或者按鍵的觸發(fā)條件就可以[23]。不過隨著時間的推移和技術的發(fā)展，這類外掛也形成一種體系，比如非常出名的“按鍵精靈”，他可以配合其他類的外掛進行功能組合，達到自動拾取，自動放技能的作用，在已經分析出人物數據、掉落物品數據的情況下，設定坐標相同時觸發(fā)拾取按鍵功能，就可以達到自動拾取的功能。這種外掛沒有修改游戲的數據和物品，只是作為輔助方便的了游戲玩家和節(jié)省了很多無聊的操作和時間，一般對游戲危害比較輕。

模擬類外掛實現(xiàn)方法較簡單，用幾個 API 函數就可以實現(xiàn)模擬鍵盤和鼠標的操作，通過 API 函數來代替鍵鼠操作，把鍵鼠操作指令發(fā)送給游戲程序，讓玩家的游戲角色進行移動、攻擊、撿取物品等行為操作。

2.內存修改類外掛

內存修改類外掛可以分為以下三種:

第一種方法是利用 virtual X driver（虛擬設備驅動程序）直接查找游戲內存分配地址，這種方法需外掛開發(fā)人員有良好的編程基礎和系統(tǒng)的底層驅動知識，是技術較難的一種方法，門檻較高。

第二種方法就是用 ToolHelp API 函數，該函數是用來枚舉進程和模塊，獲取進程和模塊的 ID 與信息。黑客利用 ReadProcess Memory 函數從網絡游戲的進程中讀取到游戲的內存數據，但是該方法沒有修改內存的函數，不能往內存里寫數據，所以這種方法需要其他方法的配合，具有一定的弊端。

第三種方法是利用游戲進程的對應函數，這種方法比前兩種要方便和簡單很多，游戲進程的對應函數很容易就能得到，例如利用：ReadProcessMemory 和 WriteProcess-Memory 兩個函數對游戲進程進行讀取和寫入，這種方法是當下最流行最受歡迎的方法，該方法能修改市面上大多數的游戲內存。

Windows 系統(tǒng)會預留一些 API 函數，這樣會大大降低開發(fā)人員的開發(fā)程序的難度和復雜度，這些函數原本是用來調試程序，但是外掛制作人員利用這些 API 函數修改游戲內存進行非法外掛的制作，其中典型的兩個 API 函數分別為 ReadProcessMemory 和WriteProcessMemory，一個是對游戲程序內存進行讀取，另一個是對游戲內存程序進行寫入操作。但在使用這兩個函數之前，想要對網絡游戲內存進行讀取和修改，首先要查找到游戲中相關屬性的內存地址，才能進行修改，所以相對內存修改而言游戲中人物屬性的相關內存查詢更加困難和繁瑣，需要找到合適的算法和公式進行分析。

3.封包類外掛

封包類外掛是難度較高的一種外掛技術，涉及多個技術問題，網絡游戲的服務器端和客戶端通信是利用 socket，服務器端申請一個socket 監(jiān)聽消息，并綁定到一個對應的 IP 地址和端口上，等待游戲客戶端的連接，外掛制作者利用封包截取工具截取通信數據包，經過多次截取封包，分析數據，得到封包數據對應的人物操作或屬性，若封包加密則分析其加密算法，網絡游戲的前期由于其服務器功能的限制，一般封包都不加密或者采用異或加密很好破解，修改對應的數據，再利用封包截獲工具（如winpert）轉發(fā)給服務器，通過篡改通信數據來實現(xiàn)作弊。

由于互聯(lián)網通訊技術的發(fā)展和計算機硬件功能的更新與加強，封包數據只能用異或加密的限制已經不存在，現(xiàn)在的游戲客戶端在和遠程服務器通信時一般都利用 RC4 和 RSA 進行加密，封包外掛技術即使截獲了數據，也破解不了被加密的數據。所以對網絡游戲的危害已經變得越來越小。

3.脫機類外掛

脫機類外掛是一種綜合類外掛，是前三類外掛技術的總和，也是難度最大的一種外掛，一般在一個游戲發(fā)布 3 到 5 年之后，才會在市面上流傳的外掛，是制作周期最長所需技術最為復雜的外掛。每個游戲都有自己特有的通信方法和原理，外掛開發(fā)者們需要完全分析出本地端與遠處服務端的通信原理，達到不使用客戶端進入游戲的目的，這類外掛是為工作室而開發(fā)，一臺機子可以開幾十個號同時掛機練級和刷金幣，獲取非法利益。

開發(fā)流程如下：

破除游戲反調試。

逆向分析出游戲加解密算法。

逆向分析出地圖等資源信息

分析出登陸封包，實現(xiàn)脫機登陸，獲取角色屬性、裝備、物品、技能相關信息。

具體功能封包分析。

整合尋路算法，實現(xiàn)基本掛機。

根據工作室需求，完善功能。

一個游戲如果被外掛制作者們開發(fā)出脫機外掛，對該游戲破壞是災難性的，脫機外掛的出現(xiàn)必然會導致游戲中物價的起伏，甚至金錢系統(tǒng)的崩潰，損害正常玩家的利益，造成玩家大量流失，最后導致游戲運營時間縮短提前退出市場，嚴重損害游戲開發(fā)商和玩家的利益，擾亂我國游戲行業(yè)的正常發(fā)展，所以脫機類外掛一直是游戲開發(fā)商和國家重點打擊的對象。

網絡游戲封包加密技術

異或加密

網游游戲最開始運用的加密算法是異或加密，顧名思義該加密算法就是經過簡單的異或的位運算進行加密，跟高中數學所學的映射關系相類似，由于其運算簡單，加密速度快，而且在網絡游戲初期受服務器和電腦硬件配置的限制，網絡游戲加密只能運用此類加密算法，但該加密算法很容易被破解，若游戲的通信機密算法被破解，只能等待游戲的下一次更新進行修改和維護。這種加密算法存在很大的弊端，對數據的保護強度很差，早期的游戲開發(fā)商只能增加游戲的維護頻率和周期，進行不定時的更換映射規(guī)則，預防外掛的破解。

異或加密的數據很容易破解，例如：網絡游戲中所使用的地址一般是一個 8 位的 16進制數，通信所發(fā)送的數據也是 16 進制，下面一段數據是利用 WPE 工具在玩家操作游戲界面進行登錄時被截取的一段數據，很明顯該數據為登錄時玩家輸入的登錄賬號和密碼。

Send: 0000 01 00 00 00 68 75 61 6e 67 6a 75 6e 31 31 38 00

00 02 00 6a 75 6e 6a 75 6e 31 32 33 33 34 00 00

由 WPE 截獲的數據看出，用戶名經過異或加密是: 68 75 61 6e 67 6a 75 6e 30 30 37；

登錄密碼經過加密是: 6a 75 6e 6a 75 6e 31 32 33 33 34。用輔助軟件和規(guī)律分析，很快就

可以得出解密后的明文。然后利用 16 進制換算為 10 進制，并從 ASCII 碼表中找到對應

的 ASCII 碼值，就可以計算出原文的數據：用戶名: huangjun118，密碼:junjun12345。

RC4 加密

算法見我的另一篇文章：

link.

RSA 加密

link.

網絡游戲外掛檢測技術

鼠標鍵盤模擬檢測技術

鍵盤鼠標模擬外掛是通過軟件模擬人工操作鼠標和鍵盤進行替代玩家操作的外掛，比較流行的外掛如：按鍵精靈、鼠標連點器、簡單游等外掛軟件。

網絡游戲開發(fā)商檢測該類外掛總體用兩種方法，一種是客戶端檢測，一種是用戶行為分析檢測?？蛻舳塑浖z測主要有檢測玩家電腦上運行程序的進程、窗口名、界面名字、機器碼和軟件特征碼等。舉個簡單的例子，一些外掛軟件被黑客制作出來進行出售，如果銷量比較高，用該外掛的次數比較多，那么該軟件的一些特征碼就會被加入黑名單，只要在運行游戲時，打開此類外掛就會提示非法，但是如果把外掛代碼放入其他的編程語言進行編輯再打開卻沒有提示非法外掛，這里也是游戲商的一個痛點之一，如果游戲因為代碼編輯工具就提示非法，這就違背了國家制定的版權規(guī)定，所以此類方法只能遏制外掛的泛濫而不能完全禁絕外掛。所以目前比較流行的方法也是大多是游戲開發(fā)商使用的方法：用戶行為分析檢測，主要有以下幾點：

分析鼠標點擊頻率和移動頻率，如果存在長時間的點擊頻率相同和類似，或者點擊頻率過快，都會被加入黑名單。

判斷游戲角色的差異值，一般模擬類軟件的角色行為和玩家的行為差距很大，這種差距安全人員一眼都可以看出來，但是游戲開發(fā)商不可能有那么多的人工對所有玩家進行監(jiān)測，所以游戲開發(fā)商會針對游戲角色的行為設置一個范圍值，即臨界點，如果過了該臨界值就加入黑名單或者直接彈窗非法，強制下線該賬號。

監(jiān)測結果數據，游戲公司對游戲中關鍵的數據進行嚴格的監(jiān)控，利用時間的大間隔對關鍵數據的結果進行上傳，對上傳到服務器的數據進行臨界值檢測，若有異常數據，則判斷為非法使用模擬類外掛。由于此類外掛對游戲的公平性有影響，但是危害性比較低，所以游戲開發(fā)商一旦檢測到此類外掛，只會對該玩家做下線處理并彈窗警告，并不會做封號處理。

游戲數據修改檢測技術

在網絡游戲反外掛的歷史中，曾有一個很流行的反外掛系統(tǒng) N-Protect，該系統(tǒng)是當時網絡游戲普遍采用的反外掛系統(tǒng)，該系統(tǒng)可以在線進行升級，并同時在玩家運行游戲時檢測游戲運行環(huán)境，是否有外掛運行，客戶端是否完整，是否有外掛存在修改客戶端內存數據。但是這用外掛檢測辦法本身就存在缺陷，因為反外掛系統(tǒng) N-Protect 本身就存在于游戲的客戶端的機子上，該電腦是玩家所有，如何能夠保證該外掛程序不會被修改和欺騙，客戶端可以被修改，那么該反外掛程序一樣可以被修改，所以該反外掛系統(tǒng)投入運營了一段時間后，被國內的黑客攻破，最終該系統(tǒng)以失敗而告終。想要檢測游戲外掛存在以下難點：

無法完全防止游戲客戶端被修改，游戲客戶端一旦到了玩家和黑客手上，根本無法阻止黑客的修改。即使有法律的制約，在當前的社會情況下也無法有效的監(jiān)督其個人行為。

對游戲客戶端的檢查容易被欺騙，當檢測系統(tǒng)檢查客戶端的完整性的時候，外掛制作者完全可以偽造一個安全的進程，把合理的代碼放進去，讓檢測系統(tǒng)檢測假的數據，這樣無論客戶端被怎么樣修改檢測系統(tǒng)都不會發(fā)現(xiàn)。

掛檢測系統(tǒng)無法把檢測到的結果正確的傳遞給服務器，外掛制作者找到其檢測結果的數據，即使該檢測系統(tǒng)已經檢測到非法軟件，作弊者也可以篡改其檢查結果，變?yōu)闄z測合法的數據分支，不管檢測系統(tǒng)檢測出什么外掛，都無法向服務器發(fā)送正確的檢測結果。

因為游戲公司無法通過客戶端的加殼和檢測的方法有效的阻止作弊者修改其客戶端，所以開發(fā)商又考慮從服務器端檢測玩家的使用外掛修改本地數據的行為，具體方法如下：

檢測玩家的 IP 地址，是否在同一個 IP 地址下存在很多游戲賬號登錄的情況，這里檢測并不是一定要一個 IP 只有一個游戲賬號，而是針對用軟件模擬玩家操作，在同一個電腦中登錄十幾個賬號的工作室，如果被檢測到 IP 上有很多號，那么就會被服務器加入黑名單，甚至被全部封號。

限制客戶端多開的數量，比如地下城與勇士該游戲在剛發(fā)行的時候只允許玩家在同一臺電腦只能開一個客戶端，隨著游戲的運營和玩家的減少，開發(fā)商現(xiàn)在允許玩家進行雙開設置，方便大號帶小號。

檢測 MAC 機器碼，這種檢測機制只有很小一部分開發(fā)商使用，因為一個電腦有一個固定的 MAC 碼，不能被軟件改變，所有如果玩家在一臺電腦上長期使用外掛或者造成的影響非常惡劣，那么游戲就會把該臺機器的 MAC 碼加入黑名單，禁止該電腦登錄游戲。

游戲內置舉報系統(tǒng)，現(xiàn)如今幾乎所有的網絡游戲都有該功能，尤其是在競技類游戲中，如果正常玩家被作弊玩家殺死，那么玩家肯定會舉報該外掛，所以此類方法非常簡單且效果強大。

根據玩家最近玩游戲的數據，延時分析游戲數據是否異常，這種檢測機制是當下最流行的檢測機制，在玩家使用外掛修改了人物的屬性之后，利用變態(tài)的屬性刷怪打裝備，很安全所有難度都可以隨便刷，并且也沒有被檢測到，但是等兩天再登錄的時候發(fā)現(xiàn)賬號非法或者賬號被封，這種情況就是服務器定時對玩家游戲數據進行分析，而且這種檢測機制準確率非常高，只要發(fā)現(xiàn)數據異常很可能直接做封號處理。

外掛實現(xiàn)與反外掛舉例

射擊類外掛

射擊類游戲（FPS）如：穿越火線、逆戰(zhàn)、守望先鋒、絕地求生、以及最近新出的apex 英雄，其特點是以第一人稱視角或者第三人稱視角進行操作虛擬人物進行射擊交戰(zhàn)，而游戲屏幕中間會有一個準星，這是槍械武器的射擊位置，通過準星瞄準敵人進行射擊交火，以達到擊殺效果，若射擊瞄準的是頭部危險部位那么會發(fā)生一擊致命，即爆頭效果，達到快速擊殺。但是頭部相對于人物的整體是很小的一部分，很難被射擊，且人物會一直移動再加上武器的后坐力，所以要打到頭部危險部位幾率非常小，那么外掛自動瞄準就是根據游戲漏洞進行編寫，達到自動瞄準，形成一擊必殺、百步穿楊效果。

游戲調試工具：CE和OllyDbg。

外掛制作者通過游戲調試工具，可以獲取到游戲的基地址以及某個變量（如血量，子彈數，自己的位置，敵人的位置，朝向），通過數學運算，計算出自己與敵人之間的朝向與當前朝向的差異，一種方法可以直接修改本地朝向為自己直接朝向敵人，即準信瞄準敵人，另一種可以通過模擬鼠標操作，通過計算給一個輸入，讓自己的朝向鎖定敵人。

除了內存掛現(xiàn)在已經可以完全可以通過鍵鼠模擬去瞄準敵人，如計算鼠標的靈敏度偏移，在渲染時拿到渲染的數據，一般人物會有標識可以找到，然后可以取到渲染的位置（如果在游戲上層加一層改變一下渲染顏色，就能做出透視掛），通過計算鼠標應該有的偏移，使用系統(tǒng)自帶的系統(tǒng)接口可以直接在不移動鼠標情況下，操作游戲任務瞄準敵人，這也是鎖頭掛的原理。

后坐力的實現(xiàn)，有的游戲后坐力是純客戶端實現(xiàn)的，可以通過修改后坐力的系數，或者直接一直設置朝向達到無后座力，另一種就是使用輸入反向輸入后坐力的偏移，這樣也能達到無后坐力。

飛天遁地掛的話主要是服務器沒信任客戶端，沒有對客戶端的位置進行校驗，客戶端通過修改1P的位置，然后告訴服務器，服務器因為沒有校驗合法性，直接同步給了其他3P導致。

自動開槍掛的原理跟上訴類似：也是在外面的準信即自己的準信對準敵人的時候，自動觸發(fā)鼠標點擊事件，達到自動開槍的目的。

游戲實現(xiàn)要怎么預防呢？

主要還是基于檢測跟校驗：

監(jiān)聽武器準星移動頻率玩家在操作游戲人物的時候，鼠標控制武器準星的移動，玩家通過移動鼠標讓武器準星瞄準敵人位置，進行射擊。而自動瞄準外掛會讓武器準星自動瞄準，不需要玩家移動鼠標瞄準，自瞄外掛代替了玩家操作鼠標，但是在自瞄外掛的控制下，武器準星移動的頻率和準確率遠遠超過了玩家的操作極限和合理性。本文可以利用自動瞄準外掛這個特點來監(jiān)視非法使用外掛的玩家，阻止玩家作弊。方法如下：

設定玩家移動武器準星最大頻率值預先測定玩家移動鼠標的最大頻率值，然后作為反外掛程序的基本標準。

判定外掛規(guī)則

判定方法具體為，用計數器B來記錄頻數，如果頻數超過設定的標準，則另一個計數器A加1，如果第二次計數器B沒有超過頻數標準，則計數器A清零，避免由于人為的低概率事件的發(fā)生，如果連續(xù)3次超過頻數標準，即計數器A的值超過3，則判定出現(xiàn)外掛程序，中止游戲。

監(jiān)視玩家的命中概率

這種方式比較占內存，但是這種方法發(fā)現(xiàn)外掛的效率要比前一種方式高。下面介紹方法如下:

設定一個玩家命中率的最大值反復試驗，測定玩家命中的最大概率，適當增加這個概率值，做為反外掛的一個基本參考標準，設該標準值為p。

判定規(guī)則

首先建立兩個系統(tǒng)計數器n和m，用來監(jiān)視射擊類游戲窗口，當游戲中玩家對戰(zhàn)開始時，啟動兩個計數器，玩家每發(fā)射一發(fā)子彈，計數器n加1，玩家發(fā)射的子彈每造成一次傷害計數器m加1，當本局游戲結束時，就會得到兩個確定的值n和m，如果兩者的比值大于反外掛系統(tǒng)設定的上限值，則判定該玩家使用外掛，終止游戲。如果兩者比值小于該上限值，則把玩家添加進白名單，經過一段時間后，再進行監(jiān)視，盡量減少服務器壓力。

總之自動瞄準類外掛的防御程序的設計思路還有很多其它方法，比如外掛運行窗口檢測、玩家的行為分析等方法，但是本文認為上面兩種方法監(jiān)聽準星和監(jiān)視命中率更為簡潔和可靠。

雜談

騰訊的TP反作弊算得上是效率最高的反作弊系統(tǒng)，TP反作弊的機制是通過掃描玩家硬盤，確認是否有疑似外掛的程序存在。但這一行為在很多國家和地區(qū)是不被允許的，去年歐盟國家更正完計算機用戶隱私條例后，就對在歐盟國家中使用TP等硬盤掃描反作弊系統(tǒng)的游戲發(fā)出了警告。

《絕地求生》還采用過特征碼的反作弊方式，每天都在更新，甚至一天更新兩三次。而每一次更新都會讓現(xiàn)有的大部分外掛失效。既然打不過你，還可以以逸待勞累死你。

還有一些公司不走尋常路，跳出了傳統(tǒng)中路對線的思維局限，選擇直接招安外掛的開發(fā)者來替自己針對其它外掛，簡直妙哉

暴雪在這種事上就顯得亦剛亦柔。一面出高價買下插件開發(fā)者為《魔獸世界》開發(fā)的各種”好插件”——有些破壞游戲環(huán)境的插件與外掛無異，有些則可以有機地融入到游戲玩法中；另一面又和德國的Bossland Gmbh打了八年官司，直到Bossland服軟才罷休。

順帶一提，Bossland不僅僅是開發(fā)了《魔獸世界》的掛，他們給暴雪全家桶里的所有游戲都寫了掛。

最為魔幻的是，外掛問題在我國國外游戲作弊泛濫的環(huán)境里，卻被本土廠商和代理很好地遏制住。而這無疑要先歸功于我國的法律。

國內對外掛案件的處理，在國內主要有三個罪名——非法經營罪（最高15年有期徒刑），侵犯著作權罪（最高7年有期徒刑）和破壞計算機信息系統(tǒng)罪（最高15年有期徒刑）。目前實際國內外掛案件判例中比較嚴重的外掛犯罪，通常會判5年左右有期徒刑。

有效動用法律手段，既維護了開發(fā)商和運營商的利益，也維護了玩家的體驗。之前騰訊手撕了《穿越火線》的外掛開發(fā)者，判了兩年有期徒刑；最近的《新天龍八部》的”冰焰”外掛也備受社會矚目，因為開發(fā)者是一名中科大博士，可惜因為外掛斷送了自己的生涯。

————————————————

版權聲明：本文為CSDN博主「popcorn丶」的原創(chuàng)文章