作者: 来源: 发表时间:2011-11-26 12:57 
反外挂杂谈
一些常规反外挂关注点及个人建议
1、脱机挂以及内挂开发首先必须解决游戏反调试保护,目前主流思想是驱动层进行调试器进程检测、标志位检测,HOOK重要函数等方法以及给游戏执行文件加猛壳利用壳的功能实现反调。
个人观点:驱动保护方法可大大提高外挂的制作门槛,但综合效果却并不是很好。驱动开发代价高昂、破坏游戏的兼容性和稳定性、对于专业的外挂团队根本无效。君不见DNF的玩家挂、工作室挂,AION的脱机挂依然很安逸地挂着。普通外挂开发团队或自己分析或通过购买工具方式解决驱动保护,顶尖的开发团队的技术人员可能比国内90%以上的游戏公司反挂技术人员都要多而且更专业解决驱动保护也是不在话下。有财力有技术实力的大公司可以加入驱动保护,中小游戏公司还是能免则免吧,简单的驱动起不到效果、复杂的驱动功能完善且兼容性、稳定性好可不是容易的事,况且底层的操作也不是必须的,相关的操作放到Ring3层处理、搞点猥琐手段效果亦不错。
2、对游戏的启动参数进行加密(针对脱机挂及智能工作室内挂)。
个人建议: 启动参数加密是比较容易忽视的地方,加密函数中利用GetTickCount之类获取变参,灵活应用注册表或文件操作,判断游戏是否从官方程序启动,再对相关代码段VMP
3、检测防多开(针对脱机挂及智能工作室内挂)
个人建议:多开检测也是比较容易忽视的地方,很多游戏只是一个简单的FindWindow、CreateMutex,有等于无,此处应多方法灵活处理,VMP依旧是必须的
4、代码完整性校验
个人建议:CRC之类算法对自身的完整效验勾挂函数的完整效验,一些重要代码段另外单独校验,校验相关代码段VMP,必要的话返回服务器中验证
5、游戏登陆相关封包处理
个人建议:游戏的登录封包尽量复杂化,不同的封包类型中部分数据采用多重加密是必要的,多个端口乱序通讯,这些登陆分包是一次性的不用太担心算法效率问题,而此操作却可以大大增加逆向难度;另简单说明一下,如很多游戏登陆会使用MD5进行相关验证,但多是直接对密码进行加密,逆向者用PEID 的Krypto ANALyzer知道用了这个算法,到网上随便找个MD5算法不用修改就能通过,效果甚微,而如果从服务器下发部分随机密钥A再与本地固定密钥B与密码组成密钥C再用MD5加密,在MD5加密的基础上再加个可逆算法处理,这样验证强度就强多了,本人初次逆这样个流程时候就觉得很痛苦,再VMP下,嘿嘿效果就达到了
6、敌意进程、模块扫描
个人建议:可以多启线程进行相关操作,但放在主进程中扫描依旧是必须的,不需要太早扫描,不需要太频繁扫描,扫描结果返回值的多样化,扫描结果向服务器报告但在客户端是不需要立刻体现,此处灵活点,极尽猥琐,你可以很好的使用反外挂这把双刃剑,老规矩相关代码VMP.
外挂黑名单的获取:
A:玩家挂,直接搜索或购买
B:工作室挂,无间道、靠道友、声势浩大的反外挂奖励活动(这招效果不错,毕竟工作室的员工也想发笔横财,虽然不一定能拿到奖励…)
C:其它,多接触些有点名气的外挂代理
7、客户端失去响应
个人建议: 一定时间客户端没有反应断开连接,这个时间能短就短,调试过的都知道,这样调试起来痛苦多了
8、图片答题机制
个人观点:图片答题实现起来容易,却可以大大增加写外挂的难度、成本。
目前外挂应对方法
A:算法解析
B: 自建图库
C:人工答题(工作室挂一般都把图片传到指定答题机器上)
所以图片本身要处理的复杂点,噪点之类多多益善,基本断绝算法解析的希望;图片经常更新,或者写个小算法一个图片重复使用,让外挂的图库成为鸡肋,把外挂逼到人工答题这条路上,这样外挂难度、工作室成本就上去了,老规矩图片验证相关代码VMP。
