网络游戏作弊与反作弊研究

顺序

你见过哪些NB插件？

插件分类：

反作弊类别：

国内外现状

外国的

国内的

插件研究

1.模拟课

2.内存修改插件

3.数据包插件

3. 离线插件

网络游戏数据包加密技术

异或加密

RC4加密

RSA加密

网络游戏外挂检测技术

鼠标键盘模拟检测技术

游戏数据修改检测技术

插件实现与反插件示例

拍摄插件

如何阻止游戏实施？

杂谈

顺序

你见过哪些NB插件？

CF:

透视（可以使用另一种颜色来识别墙后的敌人），

自我瞄准（瞬间自动瞄准敌人），

自动射击（枪对着敌人时会自动开火），

飞向天空（人可以去地下），

逃脱（同上），

无后坐力（正常射击时瞄准方向会上升）

远程打包（C4远程安装）

地下城与勇士：

角色放大插件（这种插件可以让角色瞬间变得超级大，技能也会相应变大）

所有技能无消耗（即任何职业都可以使用该职业的所有技能）

Summon Something（召唤一些强大的怪物）

全图秒杀（一键秒杀全图所有怪物）

召唤怪物类型（召唤地牢中的一只或多只怪物来帮助你绘制地图）

枫之谷：

飞行、吸怪、无敌、自动攻击

QQ舞：

自动完善

炉石传说：

自动增加分数（利用深度学习自动出牌）

哈哈：

自动隐藏技能，神行，自动战斗

韩国服务器的一些游戏（检测很弱）：

修改本地txt的几个0 1

插件分类：

现在的游戏外挂种类很多，每个网络游戏都对应一系列的外挂。对于某个游戏来说，可能有100多个插件商家，而这些插件为游戏提供的功能达到了几十种，所以面对如此多的插件时，有必要进行分类插件，方便分析总结插件技术和特点。传统的外挂分类方法一般将外挂分为两类：非修改游戏数据。插件和数据修改插件，具体功能如下：

分类功能

不修改游戏数据的插件是利用插件通过模拟键盘、鼠标操作来帮助玩家完成网络游戏中繁琐的动作或重复、无聊、耗时的流程和任务，从而方便和解放玩家。

修改游戏数据类型插件修改游戏数据类型插件是获取服务器与客户端通信产生的网络游戏数据包，修改或者修改客户端本地内存数据，并将这些数据发送出去的插件。修改服务器的数据包或内存地址。获取插件想要的结果和数据。插件通过修改数据包信息和客户端内存地址来改变角色的属性和状态。

反作弊类别：

由于魔兽世界等大型网络游戏在国外的流行，K. Park等人。对此类游戏的外挂进行了研究，对此类游戏的外挂进行了总结和分类，包括针对服务器攻击的外挂和针对客户的外挂。攻击终端数据的插件、攻击网络流量的插件、攻击普通玩家的插件。游戏外挂的检测方法分为三类，分别是玩家客户端检测、游戏网络通信检测和游戏远程服务器检测，如下表：

分类方法示例

客户端开发者反作弊系统腾讯的TP、Valve的VAC

绝地求生使用的第三方反作弊开发商BettleEye系统的客户端防作弊系统

用户侧用户报告和人工检查系统。几乎所有的游戏都会有这样的系统。

网络通信监控流量和比较往返时间值是现在常用的方法

网络通信分组数据加密是现在常用的方法

服务器：分析玩家的游戏日志是否存在异常。梦幻西游、地下城

服务器进行不规则的图片验证或数字问答验证。问

国内外现状

外国的

Ronald L. Rivest等人研究了玩家客户端向服务器发送数据包命令的情况，并监测了不同时间段的不同总流量。监控使用插件时和正常游戏时流量变化之间的差异。作为识别插件的一种手段。 David A. Solomon等人指出，离线插件和机器人类插件在数据流量上会表现出一定的规律性，会表现出数据包传输时间间隔固定、频率极快的特点。 William R.Cheswick等人采用行为分析方法，利用机器人操作和玩家操作的差异来分析两者的差异，研究正常玩家的行为日志和机器人的行为日志，通过分析找出作弊行为和比较。用户。 Matt Pietrek 等人使用了玩家角色的路径分析方法。正常游戏中玩家的移动路径是变化的、随机的。走同一条路，就有不同的路。然而，机器人插件操作的角色路径点大多经过同一个地方。这是重复的。通过对比玩家角色的路径，会发现在使用插件时，相同的路径坐标会重复出现，因此可以利用该数据来检测玩家是否使用插件。用户端的反作弊系统会给玩家带来很多不便，并且经常会与系统平台和其他相关软件发生冲突。比如在用户端添加了插件监控机制，但程序本身并没有给游戏带来好处，反而增加了玩家电脑的负担。即使检测到插件，也只能检测到当前用户，而且非法行为也只有一种，犯罪分子完全可以针对这种程序设计出逃避检测的方法。网络通信的检测方法早已过时。现在所有游戏都有网络通信的时间验证和流量监控。时间加速插件不再存在。犯罪分子的外挂更加先进、隐蔽。网络通讯的检测方法已经对当前的插件无能为力。为了克服客户端和网络端检测的缺点，游戏开发商和第三方反作弊机构将检测机制集中在服务器端，特别是通过分析和检测玩家行为日志来判断是否存在异常。在游戏角色中。

现在国外防御外挂的方法有很多，但比较有效和流行的有：人物行为分析、人物移动路径分析、数据包验证、弹出事件检测等。玩家在玩的时候会弹出图片验证码测试，玩家可以轻松解决。但如果有离线外挂来代替玩家自身的角色操作，那么该外挂将很难被识别，游戏系统可以判断该角色是否为离线外挂。玩家们，但由于人脸识别和图像处理技术的进步，图片中的关键词和数字已经很容易被检测出来，这种反作弊方法越来越无效。

国内的

国产外挂的历史可以追溯到单机游戏时代。当时它的名字叫游戏修改器，因为它可以追踪游戏中锁定的游戏角色的各种数据参数，并通过修改各种参数来降低游戏的难度，让玩家能够更轻松地在游戏中获得乐趣。随着国内经济的发展和网络的日益普及，网络游戏也随之出现，游戏外挂功能也越来越强大。在原有功能的基础上增加了许多新功能。腾讯网游《地下城与勇士》。插件种类和功能多种多样，比如：即时打怪、瞬移、跟随地图、无敌、透明、添加三维、增加移动速度、自动补血等，你可以用这些游戏中轻松打怪、升级、爆装备的功能。让插件玩家可以轻松升级并完成任务。为了防止网络游戏作弊行为蔓延，保护自身权益，国内网络游戏开发商制定了很多反作弊制度和措施来预防和检测网络游戏中的非法作弊行为，但效果并不是很好，例如作为《地下城与勇士》，游戏发布已经有10年了，但是金手指依然存活至今，甚至公然在游戏中打广告出售金手指。随着技术的创新和发展，国内的反作弊系统也取得了自己的成果。下面主要讲解一下国内的四类反作弊系统。

第一种方法是验证分析方法。验证分析方法检测离线插件。下线外挂危害最大，破坏游戏的平衡，造成客户端与服务器之间的通信拥堵，导致游戏内价格暴涨暴跌，最终导致游戏金钱系统崩溃，造成损失的一大批玩家。验证分析方法的检测原理是：当游戏角色休息时，弹出不确定的验证码，让玩家手动输入答案，以区分机器人外挂和玩家。验证分析方法中的验证有两种：验证码识别技术和图像验证技术。验证码识别技术（Gimpy）是服务器端从数据库中随机抽取一定比例的数字和一定比例的汉字，发送到玩家客户端，让玩家进行识别验证，判断是否操作游戏角色的人是机器人主机或者玩家本人。 [12]。图像验证（Pix）的方法仅略有不同。图像验证技术的数据库是多种图形，允许玩家选择不同的符合要求的图形来验证自己的身份。这两种方法都比较传统。该方法利用机器人插件的判断逻辑漏洞来识别并验证其真实身份。由于图像识别技术的发展和完善，这两种方法都被不法分子用来自动识别和填写内容，而且效果越来越差。国内游戏开发商开发了图像或文本分类等新的验证方法。验证方法及玩家语音识别验证方法。这两种方法可以有效识别机器人，但占用大量资源且不够直接，影响玩家的游戏体验，降低了游戏的可玩性。而这种检测方法最大的缺点就是检测时间比较随机、不确定。很有可能在玩家操作角色的关键时刻会弹出验证信息，导致操作失败或者游戏失败，影响玩家体验，所以今天这种验证分析技术用的比较少，在网络游戏中较少出现，并逐渐被淘汰退出历史舞台。不过，该技术在发展初期，为插件尤其是离线机器人插件的检测提供了很好的解决方案。一个很大的帮助。

第四种方法是综合防范网络游戏外挂软件的方法。这种方法比前面三种方法更加强大和全面。不仅可以保护游戏数据的安全，还可以对数据进行加密，有效检测作弊行为。该方法主要从三个方面进行防护：

提供数据游戏数据包数据加密方法。

提供游戏插件检测系统。

一种防止黑客攻击的设备。

目前的反作弊技术或多或少存在漏洞。一款游戏一旦发布，就会面临全世界黑客的攻击和分析，找出其中的漏洞，获取非法利益。因此，反作弊之路任重而道远。

插件研究

1.模拟课

模拟插件是一个代替玩家的鼠标和键盘操作，模拟玩家操作的程序。它可以帮助玩家用简单的操作让游戏角色执行复杂的动作，简化甚至取代玩家的操作，帮助玩家无需点击鼠标或敲击键盘即可进行操作。可以执行游戏操作的自动功能。比如：的简单射击操作、简单的移动操作、捡东西等。这类外挂不需要分析游戏的数据和加密算法。它只需要按照一定的规则或顺序设计一组关键操作或关键触发条件[23]。不过，随着时间的推移和技术的发展，这类插件也形成了一个体系，比如非常著名的“按钮向导”，它可以与其他类型的插件组合功能，自动拾取并自动释放技能。人物数据和掉落物品数据分析完毕后，将坐标设置为相同，同时触发拾取按钮功能，即可实现自动拾取功能。此类插件不会修改游戏的数据和物品。它只是为游戏玩家提供一种辅助和便捷的方法，省去了很多枯燥的操作和时间。一般来说，它对游戏的伤害很小。

模拟插件的实现方法比较简单。您可以使用一些API函数来模拟键盘和鼠标操作。利用API函数来代替键盘和鼠标操作，将键盘和鼠标操作指令发送给游戏程序，让玩家的游戏角色进行移动、攻击、拾取物品等行为操作。

2.内存修改插件

内存修改插件可以分为以下三种：

第一种方法是使用虚拟门槛较高。

第二种方法是使用ToolHelp API函数，该函数用于枚举进程和模块，获取进程和模块的ID和信息。黑客利用ReadProcess Memory函数从网络游戏的进程中读取游戏的内存数据。但该方法不具备修改内存的功能，无法向内存写入数据。因此，该方法需要其他方法的配合，存在一定的缺点。

第三种方法是使用游戏进程的相应功能。这种方法比前两种方法方便、简单得多。可以轻松获取游戏进程的相应函数。例如使用：ReadProcessMemory 和WriteProcess-Memory 来比较游戏进程。读写，这种方法是目前最流行、最流行的方法，可以修改市面上大部分游戏内存。

Windows系统会预留一些API函数，这将大大降低开发者开发程序的难度和复杂度。这些函数原本是用来调试程序的，但外挂制作者利用这些API函数修改游戏内存，制作非法外挂。两个典型的API 函数是ReadProcessMemory 和WriteProcessMemory。一种是读取游戏程序内存，另一种是向游戏内存程序写入。但在使用这两个函数之前，如果想要读取和修改网络游戏内存，必须先找到游戏中相关属性的内存地址，然后才能进行修改。因此，与内存修改相比，游戏中与角色属性相关的内存查询更加困难和繁琐，需要找到合适的算法和公式进行分析。

3.数据包插件

由于互联网通信技术的发展和计算机硬件功能的更新和加强，分组数据只能通过异或进行加密的限制已经不复存在。如今的游戏客户端在与远程服务器通信时通常使用RC4 和RSA 进行加密。即使插件技术拦截了数据，也无法破译加密数据。因此，网络游戏的危害也越来越小。

3. 离线插件

离线插件是综合类型的插件，是前三类插件技术的总和。它们也是最难的插件类型。一般情况下，外挂会在游戏发行3-5年后才会在市场上流通。周期最长、所需技术最复杂的插件。每个游戏都有其独特的沟通方式和原则。插件开发者需要完整分析本地端与远程服务器之间的通信原理，才能达到不使用客户端进入游戏的目的。此类插件是为工作室开发的，一台机器可以开几十个账号，挂机升级的同时赚取金币，获取非法利益。

开发流程如下：

破解游戏反调试。

逆向分析游戏加解密算法。

逆向分析地图等资源信息

分析登录数据包，实现离线登录，获取角色属性、装备、物品、技能等相关信息。

具体功能包分析。

集成寻路算法，实现基本挂机。

根据工作室需求完善功能。

网络游戏数据包加密技术

异或加密

网络游戏中首先使用的加密算法是异或加密。顾名思义，这种加密算法是通过简单的异或位运算来加密的。类似于高中数学中学过的映射关系。由于其操作简单，加密速度快，而且在网络游戏发展初期，由于服务器和计算机硬件配置的限制，网络游戏加密只能使用此类加密算法。但这种加密算法很容易被破解。如果游戏的通讯保密算法被破解，就只能等待游戏的下次更新了。进行修改和维护。这种加密算法有很大的缺点，对数据的保护强度很差。早期的游戏开发者只能增加游戏的维护频率和周期，不时更改映射规则，以防止外挂的破解。

登录界面时截获的A条数据加密后的数据。很明显，这个数据就是玩家登录时输入的登录账号和密码。

发送： 0000 01 00 00 00 68 75 61 6e 67 6a 75 6e 31 31 38 00

00 02 00 6a 75 6e 6a 75 6e 31 32 33 33 34 00 00

根据WPE截获的数据，异或加密后的用户名为： 68 75 61 6e 67 6a 75 6e 30 30 37；

加密后的登录密码为： 6a 75 6e 6a 75 6e 31 32 33 33 34。利用辅助软件和定期分析，可以快速

可以得到解密后的明文。然后用十六进制转为十进制，从ASCII码表中找到对应的值

通过ASCII码值可以计算出原始数据：用户名： Huangjun118，密码：junjun12345。

RC4加密

算法见我的另一篇文章：

关联。

RSA加密

关联。

网络游戏外挂检测技术

鼠标键盘模拟检测技术

键盘鼠标模拟插件是通过软件模拟鼠标、键盘的手动操作来代替玩家操作的插件。流行的插件有：Key Wizard、Mouse Connector、Simple Game等插件软件。

网络游戏开发者一般采用两种方法来检测此类外挂，一是客户端检测，二是用户行为分析检测。客户端软件检测主要检测玩家电脑上运行的程序的进程、窗口名称、界面名称、机器码和软件特征码。举个简单的例子，一些外挂软件被黑客制作出来出售。如果销量比较高，插件使用次数较多，那么该软件的部分特征码就会被加入黑名单。只要你在运行游戏的时候打开了此类外挂，就会提示其非法。但如果将插件代码放入其他编程语言进行编辑然后打开，则不会提示非法插件。这也是游戏开发者的痛点之一。如果游戏因为代码编辑工具而提示不合法，这就违反了国家制定的版权法规，所以这类方法只能遏制外挂的泛滥，而不能彻底禁止。因此，目前流行的方法也被大多数游戏开发商所采用：用户行为分析与检测，其主要包括以下几点：

分析鼠标点击频率和移动频率。如果长期存在相同或相似的点击频率，或者点击频率过快，就会被加入黑名单。

确定游戏角色的差异值，一般模拟软件中角色的行为与玩家的行为存在较大差距。这个差距保安人员一眼就能看出，但游戏开发商不可能有那么多人手动监控所有玩家。因此，游戏开发者会给游戏角色的行为设定一个范围值，即临界点。如果超过临界值，将被加入黑名单或弹出非法弹窗，账户将被强制下线。

为了监控结果数据，游戏公司严格监控游戏中的关键数据，采用大时间间隔上传关键数据结果，并对上传到服务器的数据进行临界值检测。如果存在异常数据，将被判定为非法。使用模拟插件。由于此类作弊行为对游戏公平性有影响，但危害性相对较低，因此游戏开发商一旦检测到此类作弊行为，只会让玩家下线并弹出警告，并不会封禁玩家账号。

游戏数据修改检测技术

在网络游戏反作弊的历史上，曾经有一个非常流行的反作弊系统N-Protect。该系统是当时网络游戏中普遍采用的反作弊系统。系统可以在线升级并在玩家运行游戏时进行检测。游戏运行环境，是否有插件运行，客户端是否完整，是否有修改客户端内存数据的插件。不过这种外挂检测方法本身就存在缺陷，因为游戏客户端机器上本身就存在反外挂系统N-Protect。电脑归玩家所有。如何保证外挂程序不被修改、欺骗？如果可以修改，那么反外挂程序也可以修改。因此，防外挂系统投入运行一段时间后，就被国内黑客攻破，最终系统以失败告终。检测游戏作弊存在以下困难：

不可能完全阻止游戏客户端被修改。游戏客户端一旦落入玩家和黑客手中，就没有办法阻止黑客对其进行修改。即使有法律限制，在目前的社会形势下也无法有效监管他们的个人行为。

由于游戏公司无法通过客户端打包和检测来有效阻止作弊者修改客户端，因此开发者考虑从服务器端检测玩家使用插件修改本地数据的行为。具体方法如下：

检测玩家的IP地址，查看同一IP地址下是否有多个游戏账号登录。这里的检测不一定需要一个IP、一个游戏账号，而是旨在通过软件模拟玩家操作，在同一台电脑上登录十个人。如果一个拥有多个账号的工作室被检测到其IP上有多个号码，就会被服务器列入黑名单，甚至所有账号都会被封禁。

限制可以打开的多个客户端的数量。例如，游戏刚发布时，玩家只能在同一台电脑上打开一个客户端。随着游戏的运营和玩家的减少，开发商现在允许玩家开设更多的客户端。双开口设置，方便大尺寸和小尺寸。

检测MAC机器码。这种检测机制仅被少数开发人员使用，因为计算机具有固定的MAC代码，无法通过软件更改。因此，如果玩家在电脑上长时间使用外挂或者影响非常不好，那么游戏就会将该机器的MAC码添加到黑名单中，并禁止该电脑登录游戏。

游戏有一个内置的报告系统。现在几乎所有的网络游戏都有这个功能，尤其是竞技类游戏。如果正常玩家被作弊玩家杀死，玩家肯定会举报作弊行为，所以这种方法非常简单有效。强大的。

根据玩家近期的游戏数据，延迟分析游戏数据存在异常。这种检测机制是目前最流行的检测机制。玩家使用插件修改角色属性后，利用异常属性刷怪和装备是非常安全的。可以随意玩所有难度，也没有被检测到，但是两天后再次登录时，发现账号不合法或者账号被封了。在这种情况下，服务器会定期分析玩家的游戏数据，这种检测机制的准确性非常高。只要发现数据异常，该账号将被直接封禁。

插件实现与反插件示例

拍摄插件

射击游戏（FPS）如：《穿越火线》、《逆袭》、《守望先锋》、《绝地求生》以及最近发布的《Apex Legends》，其特点是以第一人称视角或第三人称视角操作虚拟角色进行射击和战斗，而游戏屏幕中间会有一个十字准线，这是枪械的射击位置。通过十字准线瞄准敌人进行射击和交火，以达到杀伤效果。如果射击瞄准头部的危险部位，就会产生致命一击，即爆头效果。快杀。但头部是整个角色很小的一部分，拍摄起来比较困难。角色会不断移动，武器的后坐力意味着击中头部危险部位的机会很小。然后插件自动瞄准就是根据游戏来的。漏洞被编程实现自动瞄准，从而产生一击必杀、百步穿甲的效果。

游戏调试工具：CE和OllyDbg。

除了存储卡之外，现在还可以通过键盘和鼠标模拟来瞄准敌人，例如在渲染时计算鼠标的灵敏度偏移并获取渲染数据。一般角色都会有可以找到的标志，然后就可以得到渲染的位置（如果在游戏的上层加一层改变渲染颜色，就可以做成透视挂）。通过计算鼠标的偏移量，可以使用系统自带的系统界面直接操作游戏任务，无需移动鼠标即可瞄准敌人。这也是挂锁的原理。

有些游戏中的后坐力纯粹是在客户端实现的。您可以修改后坐力的系数，或者直接设置方向来实现无后坐力。另一种方式是使用输入端反向输入后坐力的偏移量，也可以实现无后坐力。

如果飞天都地失败，主要原因是服务器不信任客户端，没有验证客户端的位置。客户端修改1P的位置，然后告诉服务器，服务器直接将其同步到其他3P，因为不验证合法性。

自动射击的原理和呼吁类似：当外界目标，也就是自己的目标瞄准敌人时，自动触发鼠标点击事件，达到自动射击的目的。

如何阻止游戏实施？

主要基于检测验证：

设置玩家移动武器十字准线的最大频率值。预先确定玩家移动鼠标的最大频率值，然后作为反作弊程序的基本标准。

确定作弊规则

具体判断方法是用计数器B记录频率。如果频率超过设定标准，则另一个计数器A加1。如果计数器B第二次没有超过频率标准，则计数器A清零，避免人为压低频率。如果概率事件的发生连续3次超过频率标准，即计数器A的值超过3，则判定发生了外挂程序，并终止游戏。

监控玩家的命中概率

这种方法占用内存较多，但是发现这种方法比之前的方法效率更高。下面介绍方法：

通过反复试验设定玩家命中率的最大值，确定玩家命中的最大概率，并适当提高这个概率值，作为反作弊的基本参考标准。设标准值为p。

决策规则

首先，建立两个系统计数器n和m来监视射击游戏窗口。当游戏中的玩家战斗开始时，会启动两个计数器。玩家每发射一颗子弹，计数器n就加1。玩家每发射一颗子弹，计数器n就加1。伤害计数器m加1。当前游戏结束时，有两个确定值即可得到n和m。如果两者的比值大于反作弊系统设定的上限，则判定玩家使用了作弊行为，并终止游戏。如果两者的比例小于上限，该玩家将被添加到白名单中，并在一段时间后进行监控，以尽可能减少服务器压力。

杂谈

腾讯的TP反作弊系统可以称得上是最高效的反作弊系统。 TP反作弊机制会扫描玩家的硬盘，确认是否存在涉嫌作弊的程序。但这种行为在很多国家和地区是不允许的。欧盟国家去年修改了计算机用户隐私法规后，对欧盟国家使用TP等硬盘扫描反作弊系统的游戏发出了警告。

《绝地求生》还采用签名防作弊手段，每天更新，甚至一天更新两三次。而且每次更新都会让大部分已有的插件失效。既然打不过你，那我就只能等着累死你了。

也有一些企业不走寻常路，跳出了传统的中路思维局限。他们选择直接招募外挂开发者来为自己瞄准其他外挂。真是太美妙了。

暴雪在这件事上显得既强又软。一方面，他们花高价以《魔兽世界》 ——的价格购买各种插件开发商开发的“好插件”。有些破坏游戏环境的插件与外挂没有什么区别，而另一些则可以有机地融入游戏玩法；另一方面，他们就像德国的Bossland Gmbh一样，打了八年的官司，直到Bossland态度软化。

对了，Bossland不仅开发了《魔兽世界》这个bug，他们还为暴雪全家桶里的所有游戏都写了这个bug。

最神奇的是，在我国国外游戏作弊现象猖獗的环境下，作弊问题却被本土厂商和代理商很好的遏制了。而这无疑是由于我国的法律造成的。

国内办理外挂案件包括三项主要罪名：——起非法经营罪（最高可判处15年有期徒刑）、侵犯著作权罪（最高可判处7年有期徒刑）、破坏计算机信息系统（最高可判处15年有期徒刑） 。目前，在国内诈骗案件的实际判例中，相对严重的诈骗犯罪通常会被判处5年左右的有期徒刑。