网络游戏反外挂方案与常见外挂技术浅析

首先我们科普一下外挂的定义（自己总结非官方）：能够修改目标程序原有的行为或数据的第三方程序。其中最常见的目标程序就是网络游戏客户端。一直以来，网络游戏开发商以及运营商与外挂开发者之间的对抗，从未停止过。正所谓，八仙过海各显神通。在对抗的过程当中，双方都有一定的收益，在利益的驱使下，双方都竭尽所能使用更高端的技术完成攻与防的内容。
正所谓，知己知彼百战百胜。我们作为专业的反外挂开发商，非常有必要了解各种常见游戏外挂所采用的技术。只有知道了他们的原理，我们才能想出对抗外挂的技术方法。下面列出我们在十数载反外挂研究中发现的外挂技术种类（不全之处，还望补充）。
一．脱机类外挂
在游戏开发过程中，每款游戏的客户端与服务端都会有固定的通信格式，大部分游戏通信协议位于TCP层之上，自定义的数据结构，外挂开发者们称此为封包。下面简单列举一个简单的打斗封包，以方便说明脱机类外挂原理。
0000ABCD 0000DCBA 00001234 00001000
例如玩家1在与玩家2打斗过程中，发送到服务器这样一个16字节的数据包，其中游戏开发者定义此数据包含义如下：
0000ABCD：玩家1的ID。
0000DCBA：玩家2的ID。
00001234：玩家1所使用的技能编号。
00001000：玩家1对玩家2造成的伤害，转换为十进制为：4096。
当服务器接收到此数据包时，则会将玩家2的血量减少4096点，如果玩家血量减少后小于等于0，则判定为玩家2已经阵亡。这时服务器会返回给玩家2的客户端一个数据包，玩家2的客户端则播放一个玩家2已经死亡的动画。
以上逻辑，其实存在着大量的漏洞，比如说，服务器应该判定玩家上一次释放00001234号技能是否在冷却时间内，再比如说，服务器应该判定玩家战斗过程中所造成的伤害是否与其装备、法力值、攻击力、暴击等相吻合，是否超过了游戏本身限制的最大伤害。类似这种漏洞，每一款游戏都会存在，只不过不会这么明显。一些老游戏在这方面做的相对较弱，所以漏洞更多。
另外，在游戏开发过程中，数据通信的格式在游戏开发商的公司中都有相关文档明确定义的。而这些文档非常机密。一些游戏开发商公司的安全做的不够好的情况下，可能会造成游戏代码以及文档的泄露。这些资料，一旦流入外挂开发者手中，那么这款游戏就极有可能会出现脱机式外挂。
脱机外挂定义：在不开启游戏客户端的情况下，第三方程序直接与游戏服务器进行通信，模拟账号登陆验证、选择角色、进入游戏、进入场景、开始战斗、对怪物造成伤害等操作时的合法数据包，发送给服务器，而服务器是没有能力判断出这些包是否是客户端发来的，即便有验证手段，由于源码已经泄露，外挂开发者可以轻而易举的模拟出服务端的各种验证机制。即便数据包传送过程中是加密的，由于源码外漏，外挂开发者一样可以正确模拟出数据包的加密方式。
对于这种类型的外挂，常见的屏蔽手段就是修改加密方式，使得脱机外挂发送过来的数据包，服务端无法解析，或者解析出的结果是错误的，而服务端发现客户端发送错误的数据包时，则断开连接。此方法，需要客户端与服务端同步更新。改动较大。
还有一种常见方法，是在客户端中嵌入一些验证性代码，与另外一个专门负责验证的服务端通信，客户端必须正确作答后，服务端方可认为是合法客户端发来的数据包。此类反外挂方式，我们也会经常见到，比如一些游戏中为防止挂机行为而加入的答题机制。
二．模拟发包类外挂
脱机类外挂多半依赖于游戏开发商的资料外泄，而模拟发包类外挂与脱机类外挂很近似。原因是一些外挂开发者本身可能是游戏开发者出身，对游戏中的逻辑相当了解，他们可以用调试+抓包分析的方法，在没有源码以及通信格式资料的情况下，分析出一些游戏中关键的数据包，并采用一定的模拟发包技术，完成游戏中本身含有的功能。
此类外挂多半需要向游戏中注入一个dll文件，并且用dll获取到与服务器通信的socket句柄，在此socket句柄上，将自己组织好的、合法的数据包发送到服务器。部分比较老的游戏中很常见此类的外挂，比如决战OL中的挂机内挂中的喊话功能，自动喝药功能，都是模拟发包方式完成的。
防此类外挂的方法，可以从数据安全的角度来做，也就是更换数据包的加密方式，但这种方式多半需要对游戏客户端和服务端进行较大的改动。我们也可以从技术角度来防此类外挂。既然需要dll注入，我们采用合理的办法防止dll注入到我们的游戏进程中即可。后文中会详细分析注入与反注入相关技术。
三．内存式外挂
在没有游戏客户端源码，并且没有一定的游戏开发经验的情况下，依然是可以进行外挂开发的。而这些外挂开发者，一般熟练掌握操作系统的各种底层机制，如模块、线程、内存、内核对象、内核机制等技术。这些技术，有助于他们去分析游戏客户端进程中的逻辑和重要数据，之后他们一般会注入dll到游戏进程，去操作游戏进程内数据，完成一些特殊功能。当遇到一些改动，服务器恰好没有校验时，他们的外挂功能便成功执行。
对于这种类型的外挂，通常的反外挂方式是，尽量让服务器端加入更多的校验。但是对于一些古老的游戏，无人维护，无人更新，此方法很难行得通。
另外，也可以在客户端对dll的注入进行限制，当外挂开发者无法注入dll到游戏进程时，那么他们也就无法完成对游戏数据的修改操作。

以上为按照外挂实现原理进行分类，下面还有两大常见的外挂分类方式。
一．有注入外挂
有注入dll的外挂，我们采用防止dll注入的手段在客户端进行拦截。常规的注入dll方法需要经过OpenProcess、WriteProcessMemory、CreateRemoteThread等函数的调用，任何一步的失败，都会导致注入失败。而这些函数进入操作系统内核时，是有固定的内核服务接管的，我们在关键位置拦截住这些操作，如果发起调用的进程不是游戏进程本身，我们则拦截此次操作。
另外一种常见的注入方式为SetWindowsHookEx方式，此类注入方法，并不经过上述函数的调用，而是由操作系统帮助完成dll加载，也就是说，dll加载是游戏客户端进程主动进行的，此类注入方式用接管系统服务的方式无法拦截。但是此类注入时，在游戏客户端进程中会得到一个回调，我们接管这个用户态的回调，对这种dll加载操作进行拦截。但系统中有部分dll也是使用此方式注入到所有进程中的，所以此种方式拦截，我们还需要对系统自身的dll进行放行，比如：msctf.dll、 ieframe.dll等。
二．无注入外挂
此类外挂最常见的就是加速器类，我们经历过的，最常见的受此类外挂影响较大的是传奇。游戏中人物的移动速度、攻击速度、释放速度都是靠定时器实现的。而外挂如果能影响系统中的定时器功能，则系统中所有进程都会受到影响。而这种外挂，由于无注入，我们无法拦截，并识别。并且大多数的加速类外挂，都使用了驱动，是在内核中完成的。常见的加速器会HOOK内核下的KeUpdateSystemTime和KeQueryPerformanceCounter函数，是的这两个函数的执行速度加快，完成加速功能。
在我们的MMProtect游戏反外挂系统中，加入了对内核级加速器的检测。由于MMProtect是内核级与应用层双检测，所以，有足够的能力对抗驱动级外挂程序。对于HOOK检测，我们采用了自主研发的内核HOOK检测模块，将内存中的代码段，与硬盘文件中的对应位置做对比，发现内存中与硬盘中不一致，则检测到内核inline hook。及时通知应用层的反外挂模块，并结束游戏，提示玩家不要使用第三方辅助模块。

如上所述，为MMProtect反外挂团队，数年反外挂历程中所常见的外挂种类以及解决方案，一些技术难度较低或者不常见的没有列出。还望见谅。
MMProtect团队将不遗余力的与外挂进程对抗，保护游戏公平性，为玩家提供一个良好的游戏环境。MMProtect官方地址：http://www.mm-protect.com