端游保护
1. 端游安全加固
网易易盾云端智能反外挂系统,保护手游免受外挂软件的侵扰,为游戏运营 提供更有效工具,可直观监视用户外挂使用情况,可监视盗版、模拟器、调试器 用户,可感知用户恶意行为新型外挂等,为手游反外挂提供新的工具利器。
易盾云端智能反外挂系统,由客户端应用加固、反外挂 SDK、云端智能分析 平台三大子系统组成。应用加固实现离线主动保护,发现常见外挂后进行主动防 御;反外挂 SDK 实现数据收集,安全策略调整等功能,云端智能分析平台进行数据分析,数据监控等功能。
易盾端游加固积累多年网易游戏保护经验,支持多种游戏框架,提供游戏引 擎保护、资源文件保护、外挂防御等功能,杜绝外挂横行、广告植入、内购破解 等恶意行为。可有效防止内存修改、程序破解类外挂。
1.1 高性能保护壳
对于大部分游戏引擎来说,原有的游戏逻辑代码经过编译后,会成为 EXE 或 DLL 文件(下文中已 PE 文件包括这两种情况)中的原生指令,而部分游戏引擎 的解释器本身也作为一个 PE 文件被加载,因此对于 PE 文件的保护就是游戏安 全中的重要一环。
在 Windows 平台上,PE 加固技术已经发展许久,衍生出很多不同类别的保 护技术。然而对于游戏来说,传统加固带来的启动性能增量与运行时性能影响是 不可接受的。
从这个问题出发,易盾探索并实现了一种高性能的 PE 保护壳,对游戏启动 时间影响极小,且在保证保护壳强度的基础上,不影响游戏实际的运行性能。被 保护 PE 中的代码将无法被静态反编译,且即使攻击者绕过了加固中包含的反调 试等手段,也无法在内存中找到完整连续的真实指令,大大提高攻击者的破解分 析成本。
1.2 游戏脚本加密
除了原生 PE 加固外,解释执行类的游戏引擎中,逻辑代码都是使用脚本写的,脚本很多情况下都是可以还原成源码的。尤其是 Unity3D Mono 的情况。
易盾安全加固方案提供对游戏脚本的加密功能,目前独家提供 Unity3D 函数 级加密、Mono DLL 自定义格式加密功能,相比很多同类方案,不再只是简单地 对文件做加密,将粒度细化到 IL 指令以及 Mono 加载的运行时中,使用自定义 的加载逻辑替换解释器原有加载逻辑,使攻击者望而却步。
1.3 资源文件加密
游戏资源存在被剧透或者盗取风险,可能存在:游戏有些资源并不会被当前 版本使用,而是准备留作下个版本使用的,但是这样的资源放在包里,会被玩家 用工具还原出来,并进行传播,让很多玩家知道下个版本的剧情,降低新版本对 玩家的吸引力;竞品拿到游戏资源进行利用,降低了游戏的独特性。
易盾端游保护同时支持对 Unity3D AssetBundle 资源/Unity3D 静态资源进行 加密,其中 Unity3D 资源加密还支持在线更新。
2. 端游反外挂
2.1 防多开
在端游场景中,多开器可以绕过游戏本身对进程数的限制,起到同时启动多 个游戏的效果。而对于一些黑灰产工作者来说,多开器往往会与其他的外挂行为 相结合使用,如同步器、挂机脚本,可以很大程度少减少练号、收集资源等操作 的人力成本,最终影响游戏的公平性甚至拉跨游戏经济体系,缩短游戏内容的寿命。
2.2 防截帧
开启该功能后,可以有效拦截诸如RenderDoc、NVDIA Nsight、Intel GPA、PIX等截帧工具,避免游戏资源泄漏或渲染技术被攻击者恶意分析。
2.3 反调试器
调试器指一些可以打开或附加到游戏进程,动态调试游戏代码的工具。此类 工具对游戏来说危害性极大,若不保护,容易泄漏游戏核心逻辑与关键数据,且 容易产生一些诸如修改器、封包脚本类的外挂。
易盾通过检测实时的游戏运行时与系统运行时信息,通过检测调试状态对游 戏进程信息及系统信息造成的影响来起到检测调试器的目的。区别于检测调试器 本身,这种方案对于任何调试器都是有效且精准的。
2.4 反虚拟机
在端游中,虚拟机会被用来实现绕过多开检测、辅助调试等功能。且在虚拟 环境中,可以通过伪造设备信息等内容来绕过部分游戏产品自身的风控。类似地, 易盾可以通过检测实时的游戏运行时与系统运行时信息,精确定位到虚拟机特征 并识别出其类型。
在检测到虚拟机后,若需要实时拦截,可以配置直接闪退,若不需要实时拦 截,也可仅上报记录。
2.5 反注入
在恶意外挂的作者完成外挂制作后,需要选择使用何种技术将外挂加载到游 戏中去,很多情况下会使用注入。
易盾通过监视系统底层的加载逻辑,从多个维度检测可能存在注入的点。在 检测到可疑的注入行为后,会将必要信息上传至后台;若注入行为经客户端反外 挂引擎与后台外挂库分析后确认是外挂行为,也可进行主动拦截,即时打击外挂。
2.6 反模拟点击
模拟点击类外挂多见于一些卡牌类、挂机类、RPG 类的游戏,与修改器等类 型不同,模拟点击这种脚本类的外挂不会直接修改游戏内存中或通信过程中的数 据,而是自动化地进行游戏内容,以降低人工成本与时间成本为目的,多见于黑 灰产、工作室中。
模拟点击类型的外挂大致可以分为两种,一种是包含常见外挂特征的,如注 入、隐藏进程、恶意窗口绘制等软件层面的特征,这些模拟点击外挂可以在特征 检测时就被拦截到。
另一种类型相对复杂,如远控、群控甚至是外部的物理类真实点击工具。针 对这种情况,易盾基于游戏玩家的大数据分析,独创了一种基于用户行为的检测 手段,在明确外挂实现的游戏功能后,能起到极好的打击效果。
2.7 恶意行为检测
区别于一般的反外挂产品,易盾端游反外挂系统不仅是针对已知外挂,更能未雨绸缪,通过对恶意行为、可疑数据的双端检测技术,记录或拦截非正常玩家 的行为。结合后台的智能分析平台,将外挂扼杀在摇篮中。
2.8 外挂特征检测
接入端游反外挂系统后,可共享网易游戏二十年基类的恶意数据与外挂样本 库,实现实时对抗,精准拦截。同时,线上智能反外挂后台也在不断升级与迭代, 将智能分析与人工分析相结合,尽可能覆盖到接入游戏会遇到的所有外挂场景。
3. 端游驱动保护
提供业界领先的驱动层防护技术,可应对数百万种威胁并检测最复杂的外挂 软件,而不会降低设备的速度。在保证对抗效果的同时,确保最有效地利用内存, 磁盘和 CPU 而不会对系统造成任何影响。
3.1 驱动级进程防护
得益于驱动级反外挂引擎,可以密切监视系统活动应用程序并立即采取措施, 以确保不会有任何已知外挂软件处于运行状态,且不会产生任何误报。对于未知 进程一旦尝试对游戏进行可疑操作(如外挂/辅助通常通过注入非法模块且启动 线程进而执行逻辑),便对其进行拦截,使攻击者难以篡改游戏客户端。
3.2 驱动级内存防护
作弊者会使用内存扫描工具(如 Cheat Engine 等自定义扫描工具)来查找游戏中的数据(例如生命值,法力值、攻击力等),然后使用这些内存位置来查找 其他关键数据。例如,生命和法力可能属于代表玩家的结构的一部分,并且该结 构可能包含其他内容,例如玩家位置、等级、他们面对的方向等。一旦启用驱动 级内存防护功能,便无法使用工具扫描并修改内存。
3.3 驱动级调试防护
作弊者在分析游戏时,通常会在游戏客户端运行时将调试器或二进制检测工 具附加到游戏客户端。这样做可以使他们在执行代码时逐步定位并分析游戏逻辑 代码的工作方式(如走路 call,攻击 call,释放技能 call)。目前在网上有很多有关 绕过反调试技术的研究,这些技术可能会使作弊者绕过部分运行中的调试检测, 但其攻击维度在内核层防护是无效的。
易盾拥有未公开调试防护技术,在应用层反调试之上提高对抗强度,确保游戏在运行时不受非法入侵。
3.4 驱动级文件防护
对于部分游戏运行时才会读取与修改的文件,作弊者可能会通过修改文件并 覆盖的形式实现恶意功能,此文件防护功能会在游戏运行时禁止第三方修改指定 目录下的文件,保证游戏资源等敏感文件的安全。
3.5 漏洞利用防护
漏洞利用主要用于恶意软件开发中。但是在外挂辅助制作领域中,高级别作 弊者会使用它来逃避反外挂技术,如使用易受攻击的驱动程序加载特权代码。对于此种攻击行为,易盾给出一系列精确识别机制来防止此类恶意行为出现。
3.6 高级自定义驱动防护
一旦客户端接入驱动反外挂系统,便可根据自己的需要指定任意进程(如游 戏子进程:xxxxxCrasher.exe,xxxxxHelper.exe)享有同等内核级保护功能。
