中文站

驱动反外挂另辟蹊径,让游戏避免看不见的漏洞攻击

工欲善其事,必先利其器。游戏攻防对抗亦是如此,外挂作者通过各种工具提升游戏破解效率,通常防御方会根据其工具特性针对性防御。此种场景下的防御似乎总是后人一步。

难道就没有好的办法了吗?为了解决这个痛点,通过对市面上外挂作者攻击手法分析,发现无论哪种类型的工具、外挂都离不开对游戏信息的获取。而驱动反外挂正好将此处破绽给防御住。

01 对抗场景

通常,一般反外挂产品会启动基于钩子扫描、可疑模块/进程扫描、文件/代码块签名、加壳混淆、关键字扫描、调试状态等特性。

以保护游戏或检测计算机内存和进程中可能存在的作弊行为和漏洞。如果扫描发现任何异常,则将事件报告发送给游戏公司的工程师进行分析。

此类反外挂产品长期以来一直在用户模式下工作,也称为 Ring3。在此级别,该软件无法直接访问底层硬件或物理内存,因此在进行任何扫描之前,必须先从系统应用程序编程接口(Windows API)获得权限。

此外,应用程序以用户模式运行时处于隔离状态,因此无法在完全意义上扫描属于另一个应用程序的数据。这样,尽管以用户模式运行的反外挂产品可以执行上述各种保护或扫描,但很容易被攻击者绕过。

下面为外挂作者、游戏、反外挂和外挂销售人员简单的关系示意图:

○ 无保护


○ 有保护


显而易见,在驱动层及应用层双重保护下游戏更为安全。

02 什么是驱动反外挂?

知道了这一点,易盾创建了更复杂的方法来保护游戏安全。驱动反外挂以更高的特权(即内核级别或 Ring0)运行作弊软件,该级别没有 Ring3 的限制,可以执行任何指令并引用任何内存地址。

如下图所示,用户模式和驱动模式被隔离,而用户模式是大多数软件运行下的环境,它拥有的权限极为有限,而在内核模式下不仅能访问应用模式还能和硬件设备进行交互,具有超级权限。运行在 Ring0 上的反外挂软件可以监视系统的数据完整性,从而允许驱动反外挂在此层权限下运行中能防御任何恶意行为。


简而言之,拥有“上帝视角”数字执法者对任何尝试攻击游戏以获取非法权限的行为予以惩罚。

易盾正在尽一切力量来领先于新颖的攻击手法或作弊策略,构建健康公平的游戏环境,以便为客户的游戏玩家提供最佳的游戏体验。

03 安全防护从何入手?

3.1 驱动级进程防护

得益于驱动级反外挂引擎,可以密切监视系统活动应用程序并立即采取措施,以确保不会有任何已知外挂软件处于运行状态,且不会产生任何误报。

对于未知进程一旦尝试对游戏进行可疑操作,如外挂软件、辅助工具通常通过注入非法模块且启动线程进而执行逻辑,便对其进行拦截,使攻击者难以篡改游戏客户端。

3.2 驱动级内存防护

作弊者会使用内存扫描工具(如 Cheat Engine 等自定义扫描工具)来查找游戏中的数据(例如生命值,法力值、攻击力等),然后使用这些内存位置来查找其他关键数据。

例如,生命和法力可能属于代表玩家的结构的一部分,并且该结构可能包含其他内容,例如玩家位置、等级、他们面对的方向等。一旦启用驱动级内存防护功能,便无法使用工具扫描并修改内存。

3.3 驱动级调试防护

作弊者在分析游戏时,通常会在游戏客户端运行时将调试器或二进制检测工具附加到游戏客户端。这样做可以使他们在执行代码时逐步定位并分析游戏逻辑代码的工作方式(如走路call,攻击call,释放技能call)。

目前在网上有很多有关绕过反调试技术的研究,这些技术可能会使作弊者绕过部分运行中的调试检测,但其攻击维度在内核层防护是无效的。

易盾拥有未公开调试防护技术,在应用层反调试之上提高对抗强度,确保游戏在运行时不受非法入侵。

3.4 驱动级文件防护

对于部分游戏运行时才会读取与修改的文件,作弊者可能会通过修改文件并覆盖的形式实现恶意功能,此文件防护功能会在游戏运行时禁止第三方修改指定目录下的文件,保证游戏资源、存档文件等敏感文件的安全。

3.5 漏洞利用防护

漏洞利用主要用于恶意软件开发中。但是在外挂辅助制作领域中,高级别作弊者会使用它来逃避反外挂技术,如使用易受攻击的驱动程序加载特权代码。对于此种攻击行为,易盾给出一系列精确识别机制来防止此类恶意行为出现。

3.6 高级自定义驱动防护

一旦客户端接入驱动反外挂系统,便可根据自己的需要指定任意进程,如游戏子进程:xxxxxCrasher.exe,xxxxxHelper.exe,享有同等内核级保护功能。

3.7 兼容性高

兼容性:在兼容Win7-Win10的系统同时,全面测试兼容以下杀毒软件:

国内:360安全卫士+360杀毒、腾讯电脑管家、金山毒霸、瑞星杀毒等。

国外:卡巴斯基(Kaspersky)、小红伞(Avira)、大蜘蛛(Dr.Web)、比特梵德(BitDefender)、迈克菲(Mcfee)、赛门铁克(Symantec)、F-Secure、AVG、爱维士(Avast)、趋势科技(PC-cillin)、微软杀毒(Microsoft Defender、MSE)、诺顿(ESET NOD32)等。

04 需要驱动反外挂吗?

很多游戏在对数据的验证上并没有做太多工作,甚至没有做任何验证,这种游戏的外挂通常直接修改客户端的数据达到上帝级别作弊效果,令人瞠目。

当然,即使游戏的数据全在服务器仍需要驱动反外挂保护进行保护以减少攻击面,很多类型的外挂都不需要直接修改数据达到作弊效果,以主流游戏类型为例,它们对应的外挂类型可能存在重合,仅例举该游戏类型最具典型的外挂类型。


鉴于以上情况,即使假设您的游戏已存在 Ring3 保护情况下仍是远远不够的,因为 Ring3 处于被动状态做出反击,而驱动可以实时监控整个系统资源环境进行主动防御,所以您需要易盾端游驱动反外挂解决方案为您的游戏保驾护航。