网络游戏安全风险容易导致多种安全问题
从2000年中国大陆发行第一款大型多人在线游戏以来，中国网络游戏经过十几年的发展，无论在产品数量以及用户规模方面，都有了很大的提升。但与此同时也滋生了外挂、私服、盗号、打金工作室、网络信息诈骗等一系列的灰色产业链，由此引发的游戏安全问题也成为影响游戏正常运营和发展的重要因素。纵观网络游戏的发展史，所面临的安全问题，大致可以分为5类：外挂、帐号安全问题、私服、打金工作室、信息安全问题。此外还有一些服务器和运维安全方面的问题。
外挂可以说是影响网络游戏正常运营的首要问题，玩家利用外挂可以打破游戏的平衡性，破坏游戏的正常经济系统，影响玩家游戏内的正常体验和游戏公司的收入，工作室外挂则衍生出了打金工作室问题，随外挂绑定的木马病毒可能引发帐号安全问题，而游戏内宣传外挂的恶意信息也会严重影响游戏的整体环境，可以说外挂是游戏安全问题的“万恶之源”。
什么是外挂
外挂：通过修改游戏的部分程序或数据，严重破坏游戏平衡性、扰乱游戏规则、影响玩家体验感的第三方非法程序。
外挂问题在中国为何“百反不尽”？究其原因主要有以下四点：
玩家热衷外挂
从任天堂的金手指到金山游侠、游戏修改大师，再到星际争霸中的“show me the money”，可能很多老玩家对这些并不陌生，由此也养成了很多玩家玩游戏乐于找捷径、挖bug的习惯。外挂充分的满足了这些玩家的需求，能够让玩家在游戏中的成长水平得到快速的提高。与此同时网络游戏玩家的年龄结构很大一部分在19岁以下，这个年龄段的玩家在性格上相对来说会比较叛逆，喜欢追求不一样的东西，而外挂正好能够让他们拥有完全不一样的游戏体验。
游戏自身安全性不足
据俄罗斯媒体透露，近日，莫斯科市中心发生一起车祸事故，一辆黑色宝马与奔驰车对撞，司机当场死亡。
&来源：社会万花筒
核心提示二十国集团领导人峰会5日已经闭幕。此次中国举办峰会的成果如何？普京、奥巴马、特雷莎·梅等国际大咖们又是怎样评价此...
&来源：国际在线
普京总统专车发生惨烈交通事故致司机当场死亡 普京当时不在车上【普京专车发生事故 司机当场死亡】据俄罗斯媒体报道...
&来源：中国发展门户网
“百岁高龄”河马和她第二十个孩子9月7日，前沿新闻记者从天津动物园获悉，今年40岁的河马“七儿”迎来了她的第20个孩子。
&来源：北方网
日 丙申年八月初七 苦难有如乌云，远望去但见墨黑一片， 然而，身临其下时，你会发现它不过是灰色而已。
&来源：中国网
珑府被誉为近期郑州最受关注的三大神盘之一，其他两个分别是位于科学大道瑞达路的金科城和位于紫荆山路南三环的鑫苑国际新城。
&来源：房东俱乐部
北京市门头沟区潭柘寺镇各省、自治区、直辖市住房城乡建设厅（建委、北京农委、天津市农委）、发展改革委、财政厅（局）、国土资...
&来源：大众网
上海博物馆第四代古家具修复师马如高。本文图片均来自澎湃见习记者 韦毅 图“我还有七八年就要退休了，要找到热爱这门手艺的传承人...
&来源：澎湃新闻
原标题：房价连涨40个月后的郑州楼市：开发商只给购房人120秒时间选房一、二线楼市的火仍然在熊熊燃烧。
&来源：人民网
张晓波9月5日，澎湃新闻记者从河北邯郸政界人士处及河北省委有关部门了解到，邯郸冀南新区党工委书记兼管委会主任、磁县县委书...
&来源：澎湃新闻
辽宁省委书记、省人大常委会主任李希。 视觉中国 资料图9月6日，辽宁省法官检察官遴选（惩戒）委员会成立大会在辽宁会馆举行。
&来源：辽宁日报
（题图为钟志华院士（前排左二）领衔的“高性能汽车设计制造若干关键技术与装备”成果通过专家鉴定 题图来源：湖南大学官网 图...
&来源：解放日报君，已阅读到文档的结尾了呢~~
网络游戏中的数据交互安全性问题研究
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
网络游戏中的数据交互安全性问题研究
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口他山之石可以攻玉——我了解的手游安全性问题
欢迎来到网易游戏学院藏书馆
他山之石可以攻玉——我了解的手游安全性问题
作者：黄耀华（QA）
　　笔者在过去的一年里，负责或协助进行若干款手游项目的安全性测试，积累了不少经验，也发现了不少安全性问题。本文把自己的一些经验与想法记录了一下，主要是想进行一个手游安全性测试的扫盲，更深一层是想要激发大家对手游安全性测试的重视。
一、手游为什么要做安全性测试？
　　近年正是手机游戏兴起之时，公司也开了很多手游的项目。与当前端游刚兴起的时候类似，游戏的安全性问题在逐渐暴露出来。市面上不少游戏由于各种安全性问题，营收受到不同程度的打击。
　　手游安全性问题带来的危害主要分两方面：
　　一是被抄袭；如果美术资源或者代码被破解了，那么游戏可能会被抄袭，尤其是一些以画面为优点的2D手游。
　　二是进行游戏内非法获利，轻则玩家自己修改爽一把，吊打一下大R玩家，重则制造外挂贩卖，游戏内外挂满天飞。
1、安全性问题举例
游戏A战斗过程加速：
　　扫荡卷，应该很多人都知道，玩家用来快速完成一场战斗并获得战斗奖励，游戏又能从售卖扫荡券中获利。
　　游戏A刚推出扫荡卷时，预计能引发一轮提升，但似乎并没有什么作用。
　　因为玩家发现，使用烧饼加速器等等可以对游戏战斗进行加速，例如加速个5倍10倍，然后开着自动战斗，一场战斗也就3、4秒钟，比播放扫荡的动画时间长不了多少，于是相当于拥有了免费的扫荡卷。
　　为了解决这个问题，游戏A做了一个措施。
　　由于服务器是知道玩家一场战斗的开始时间和结束时间的，于是当一场战斗所需的时间比预计的时间少时，服务器就认为玩家进行了作弊，然后判玩家战斗失败。为了减少误杀，这个预计的时间一般是跟战斗和副本难度相关的一个值。
游戏B修改内存秒杀BOSS：
　　游戏B的外挂和作弊手段一搜一大堆。其中比较常见和容易的就是内存修改。
　　通过使用烧饼修改器、八门神器、葫芦侠等等内存修改器，查找游戏战斗中的各项数值，就能对其进行修改。从而屌丝瞬间变成高富帅，各种免费玩家竞技场吊打大R。
2、手游对比端游存在的问题
　　（1）手游开发主要使用cocos2dx，Unity3d等第三方引擎，如果没有进行特殊处理，那么引擎通用的安全性问题自然也会出现；
　　（2）手游的游戏过程由于受到网络流量与速度制约，都会对游戏联网要求进行削弱，不像端游那样全实时联网校验，而是只有数值变化的时候才会请求，并且一般战斗过程都只在客户端进行计算；
　　（3）手游存在多种支付方式，包括第三方支付和短信支付，而这些支付渠道都不在公司控制下，无法保证其安全性。尤其短信支付，模拟个短信收发那是相当简单的事情。
　　（4）手游开发周期短，一个好的项目一旦被破解资源、代码，那么被抄袭的速度可以非常快，甚至能比原版还要快上线；
几种常见外挂：
　　（1）内存修改器
　　（2）游戏加速器
　　（3）脱机外挂
　　（4）山寨客户端
　　（5）内存注入插件
　　（6）内购破解
　　看到这么多种类的外挂，是不是觉得江湖险恶？所以要带上两把刷子！
二、手游安全性问题有哪些？
　　笔者把做过的安全性测试和平时爱好对其他游戏的安全性研究总结出经验，归纳为下面这些安全性问题，并分为四个部分进行，分别是：静态、动态、网络、支付。
　　静态，其实就是游戏未运行的时候。
　　静态时，游戏相关文件包括两个地方：一个是安装包；一个是安装目录；
　　无论是apk还是ipa，本质都是一个zip压缩包。所以都可以通过普通的解压缩软件打开。例如：
安装目录：
　　为了得到最完整的文件内容，最好是安装游戏后，进入游戏并且下载完所有patch，再进行安装目录的测试。对于安卓平台，可以各种文件管理器软件，或者adb shell查看，一般是存放在/data/data 或者SDCARD0/Android/data，推荐是所有地方都查看。
静态资源泄露问题：
　　静态资源包括美术资源和音乐资源
　　美术资源包括界面图片，3D模型，角色贴图等；
　　音乐资源包括游戏的场景音乐和音效等；
　　一旦静态资源被完整泄露，就非常容易被抄袭和盗用。
具体的问题举例一：
　　对于用unity3d引擎开发的游戏来说，存在一个通用性的静态资源安全性问题。例如下两图（建议放大查看）是我用工具提取的某个游戏的游戏资源的一部分，包括各种界面资源和模型贴图（一坨坨五颜六色的就是了），另外还有各种音效资源没截图。
具体的问题举例二：
　　对于用cocos2dx引擎开发的游戏，根据版本和制作资源的方法不同，加密程度也不一样，例如某款单机游戏的资源安全性就比较弱，解开安装包，就随便可以找到各种界面图片资源、音乐音效资源：
静态数值问题：
　　静态数值包括数据表和本地存档。
　　数据表主要指游戏的各种配置表，包括游戏的策划数值表，客户端的配置表等。
　　本地存档主要指游戏存在本地用以记录游戏进度和数值的文件。主要是单机游戏类容易出问题。
具体的问题举例：
　　例如，某个游戏就把数据表存成sqlite文件的形式，里面包括了角色升级所需经验，水晶抽卡和金币抽卡的牌库等。
　　策划数据表的泄露严不严重，主要是看策划是否愿意让玩家知道这些信息。对于一些通过客户端就能知道的数值，例如升级等级、成就条件，那么即使被玩家知道也无妨；但是对于抽卡的牌库、概率之类的数据泄露了，可能就容易引起不良影响了。
静态代码问题：
　　静态代码指的就是游戏未运行时的代码文件。除了对于不同引擎有不同的游戏逻辑代码文件（例如unity3d的DLL文件，例如cocos2dx的脚本文件）外，还有平台专属的代码文件（安卓平台的dex文件）。
具体的问题举例一：
　　例如某款unity3D的游戏，其游戏逻辑的dll文件并没有进行任何安全措施，于是能通过修改命中率、暴击率、暴击倍数，从而达到一击秒杀敌人的效果。（目前已修复）
具体的问题举例二：
　　还是某款cocos引擎手游，在安装包里存这大量的lua明文脚本。不过至于游戏有没有用到，能不能修改生效，笔者并未进行尝试。
具体的问题举例三：
　　QA部有同事通过修改安卓的dex文件里的smali代码，从而白富美作伴，走向人生巅峰，同时也能修改sdk支付代码从而免费获得晶钻。
问题可能带来的危害：
　　如果静态代码可以被修改，那么可能会出现最严重的问题，就是出现修改版的客户端。这些修改版的客户端问题不仅仅是大量小白玩家都能轻易进行游戏作弊，更可怕的是可能植入病毒，伪装官方游戏安装包分发出去，导致玩家利益受损，并把矛头指向公司。
　　动态就是游戏正在运行的时候。广义来讲，网络、支付都属于动态。但是由于这两个方面比较重要，所以分开来说。这里的动态主要指动态数值和动态代码两方面。
动态数值问题：
　　动态数值其实就是最常见的内存修改。主要是通过内存修改器例如烧饼修改器，八门神器等。游戏加速器也属于此类。例如角色身上的金币，元宝之类的数值，由于有服务器校验，一般是不会有问题的。问题主要出在结算是给服务器发送的数值，和战斗过程中的数值。
具体的问题举例一：
　　对于一些单机类尤其是跑酷类游戏，奔跑的过程中，可以通过烧饼修改器，查找并锁定血量，或者修改获得的金币数量，从而无往而不利。
具体的问题举例二：
　　一般进行内存数值，都只是搜索具体的表现数值，例如金币是1000，那么就搜索1000。但不要想当然的，把游戏内所有的数值都多加1234这个值，即1000就变成了2234，玩家就搜不到这个值了。但玩家是非常聪明的，作弊方法也是层出不穷的。
　　例如某款游戏，虽然开发商已经对内存数值做了类似的处理，但是依然可以通过模糊搜索找到战斗数值，例如攻击力，从而暴打BOSS，走向人生巅峰。
问题可能带来的危害：
　　如果战斗过程中，没有与服务器进行通信，也就是说服务器完全不知道客户端信息，那么这个战斗的结果是完全靠客户端计算的。
　　那么如果内存中战斗中的相关数值可以被修改，那么战斗的结果就是随玩家为所欲为了。如果内存数值的地址也是固定或者容易被计算出来的，那么甚至会被开发出专门的外挂。
　　务必记住的是，即使对内存数值进行了加密处理，但是只要战斗过程中服务器无法获知客户端的战斗数值信息，那么就有可能被作弊，只是在于难度的高低而已。
动态代码注入问题：
　　动态代码注入是个相对比较高端的技术。主要是靠linux或unix的工具和原理，因为安卓的本质是一个精简版linux系统，而IOS得本质则是一个特殊版unix。
具体的问题举例一：
　　QA部有大牛研究出了COCOS2DX的内存注入技术，原理大概是通过钩子把自己的so库加入到app中，然后注入修改脚本函数入口，从而控制客户端。
具体的问题举例二：
　　类似的技术，在IOS上面有个工具，叫FLEX，可以实现修改app的函数返回值。
　　网络安全问题主要包括通信的加密和服务器安全。
通信加密问题：
　　理论上来说，通信加密似乎是理所当然的，但是却不是每个游戏都有做，或者只是部分加密而已，甚至加密的方法只是掩耳盗铃，完全没有效果。
具体的问题举例：
　　例如某款卡牌战略手游，由于使用http方式进行通讯，同时通讯数据并没有进行加密，所以出现了脱机挂。简单而言就是通过一个python脚本就能完成登录，战斗，刷塔，竞技场，抽卡，等几乎所有的操作，无需安装客户端。可以做到例如开200个小号加入自己公会每天做任务并捐钱的程度。网络上也有类似的现成外挂。
服务器问题：
　　服务器问题包括端口安全、GM工具安全、周边服务器系统安全问题等。例如与GM工具的通信没有加密，并且外网可用；资源服务器有漏洞被入侵等。
具体的问题举例：
　　笔者负责的游戏的登陆服，经常收到外部的无效链接。估计是一些黑客尝试对该端口进行入侵。通过报错的反馈，是有人用工具遍历各种网站的漏洞入口，例如xxx/admin.php 或者xxx/login.asp。一旦被试出漏洞，那么整个服务器都可能被入侵。
安卓支付问题：
　　安卓有幸运破解器破解内购，还有LBE安全大师可以屏蔽支付短信。例如笔者上个月玩的“某款游戏”，可以通过幸运破解器破解内购项，也可以用LBE安全性大师屏蔽支付短信，从而支付成功。
IOS支付问题：
　　越狱的IOS有许多IAP插件，大概的功能是伪造一个假的苹果订单，如果是单机游戏，那么客户端直接解析这个订单就会认为付款成功而发货了。如果是联网游戏，那么需要先去苹果服务器确认这个订单的有效性，否则就亏大发了。
三、注意事项与建议
　　对于通用的安全性，给出下面几个建议：
　　（1）保证重要操作服务端都有校验：
　　包括货币、商品的购买与消耗；玩法的各种限制等等；
　　（2）保证所有通信都有加密，玩家无法破解通信协议。
　　（3）Log尽量详细，从而能根据log找出作弊者。
　　技术一直在进步，现在没有发现的安全性问题，不一定就一直没问题，我们QA要与时俱进，多关注最新的外挂与技术，同时推进项目安全性措施，才能让我们的游戏在复杂的游戏环境中激流勇进。提示：用户名只能修改一次，请慎重选择名字，大讲堂建议用户使用真实姓名作为用户名。
网络游戏安全问题简介
一、游戏安全的本源& & & & &安全是指不受威胁，没有危险、危害、损失。人类的整体与生存环境资源的和谐相处，互相不伤害，不存在危险的危害的隐患。是免除了不可接受的损害风险的状态。安全是在人类生产过程中，将系统的运行状态对人类的生命、财产、环境可能产生的损害控制在人类能接受水平以下的状态。& && && &马斯洛理论把需求分成生理需求、安全需求、归属与爱的需求、尊重需求和自我实现需求五类，依次由较低层次到较高层次排列，下层的需求是上层需求的基础。
（本图来自互动百科）
& && && &安全上的需求主要是指人们对人身安全、健康保障、资源所有性、财产所有性、道德保障、工作职位保障、社会家庭安全等方面的需求。
& && && &而网络游戏作为一个虚拟社会，人们对安全的需求对应到游戏中，我们能看到是什么呢？
& && && &从上图我们看出：人们对人身安全、健康保障的需求对应到游戏中可以理解玩家对于游戏帐号角色的安全需求；财产所有性需求对应为玩家对于游戏中虚拟财产安全需求；资源所有性和工作职位保障对应游戏中是游戏内公平竞争的需求；道德保障在游戏中可以理解为玩家对于健康良性的游戏公共环境的诉求；社会家庭安全可以认为是玩家对游戏整体稳定运营的需求。
& && &&&然而帐号被盗、虚拟财产转移、外挂、工作室、虚假恶意消息、私服等等游戏中的安全问题严重影响了玩家对于游戏安全的需求。
& && && &当玩家对于游戏安全的需求无法得到满足的时候，将会带来什么样的后果？让我们看一组数据：
（以上数据均来自于网络）
& && && &从历年调研机构的统计结果来看，游戏安全问题、外挂等已经成为导致玩家流失首要因素，严重影响游戏健康发展。因此当玩家在游戏中的安全需求得不到满足的情况下势必带来的是玩家的流失。
& && && &如何解决这些影响游戏安全的问题，满足玩家游戏中的安全需求，维持游戏的不断健康良性的发展，本文将重点就目前网络游戏的安全问题进行分析，同时对腾讯的解决方案进行介绍。
二、网络游戏安全问题
& && && &从2000年中国大陆发行第一款大型多人在线游戏以来，中国网络游戏经过十几年的发展，无论在产品数量以及用户规模方面，都有了很大的提升。但与此同时也滋生了外挂、私服、盗号、打金工作室、网络信息诈骗等一系列的灰色产业链，由此引发的游戏安全问题也成为影响游戏正常运营和发展的重要因素。
& && && &纵观网络游戏的发展史，所面临的安全问题，大致可以分为5类：外挂、帐号安全问题、私服、打金工作室、信息安全问题。此外还有一些服务器和运维安全方面的问题。
2.1外挂& && && &外挂可以说是影响网络游戏正常运营的首要问题，玩家利用外挂可以打破游戏的平衡性，破坏游戏的正常经济系统，影响玩家游戏内的正常体验和游戏公司的收入，工作室外挂则衍生出了打金工作室问题，随外挂绑定的木马病毒可能引发帐号安全问题，而游戏内宣传外挂的恶意信息也会严重影响游戏的整体环境，可以说外挂是游戏安全问题的“万恶之源”。
2.1.1什么是外挂& && && &外挂：通过修改游戏的部分程序或数据，严重破坏游戏平衡性、扰乱游戏规则、影响玩家体验感的第三方非法程序。
2.1.2 外挂成因
& && &&&外挂问题在中国为何“百反不尽”？究其原因主要有以下四点：
& && &&&l&&玩家热衷外挂
& && &&&从任天堂的金手指到金山游侠、游戏修改大师，再到星际争霸中的“show me the money”，可能很多老玩家对这些并不陌生，由此也养成了很多玩家玩游戏乐于找捷径、挖bug的习惯。外挂充分的满足了这些玩家的需求，能够让玩家在游戏中的成长水平得到快速的提高。
（以上数据均来自于网络）
& && &&&与此同时网络游戏玩家的年龄结构很大一部分在19岁以下，这个年龄段的玩家在性格上相对来说会比较叛逆，喜欢追求不一样的东西，而外挂正好能够让他们拥有完全不一样的游戏体验。
& && &&&l&&游戏自身安全性不足
& && &&&游戏开发方缺乏安全方面的经验，游戏自身安全性不足，大量的游戏逻辑被放到客户端，同时缺乏服务端的校验，导致游戏可以外挂修改利用。
2.1.3 外挂分类
& && &&&基于目前外挂的实现原理上来区分，大致可以分为以下四类：
2.2 帐号安全问题& && &&&盗号对于大家来说都不陌生，玩家在游戏中花了大量的时间和精力积攒起来的角色、装备、金币等都是宝贵的虚拟财产，一旦这些东西被非法盗取，有可能换来的是玩家的彻底流失，帐号安全问题在很大程度上也影响着一款游戏的长久稳定运营。
2.2.1帐号安全问题定义
& && &&&帐号安全问题：通过盗号木马、钓鱼等方式对玩家的游戏帐号进行盗取，并由账号被盗带来的虚拟财产转移、恶意操作等问题。
2.2.2帐号安全问题成因
&&帐号安全问题成因主要有以下四点：& && &&&l&&玩家安全意识不足
& && &&&虽然随着网络的普及应用，玩家对于网络安全的认识越来越深，但依然存在安全意识不足的问题，不良的上网习惯再加上侥幸心理，在浏览一些挂马网站、打开一些种马文件的过程中，导致机器中毒帐号被盗。
& && &&&l&&外挂对木马精确投放的促进作用
& && &&&在游戏帐号被盗的绝大多数玩家中，曾经使用过外挂的占很高的比例，不少外挂中都绑定了木马，玩家在使用外挂的同时，为了保证外挂稳定运行，甚至会主动关闭杀毒软件，导致木马有机可乘。
（上图中蓝色的框中是两个外挂的进程，红色的框是外挂运行后释放的木马代理，绿色的框是木马伪造的假验证框用于套取玩家的密保问题）
& && &&&l&&木马盗号产业化
& && &&&高额的黑色收入让网游盗号产业化，渐渐形成了盗Q、卖号、转移虚拟财产、发广告、诈骗等系列“黑色”获利点，同时也养肥了木马编写、号码交易、辅助软件等周边“灰色”市场。产（生产木马）、挂（挂马）、销（销脏）、洗（洗钱）分工明确。
2.2.3 帐号安全问题分类
帐号安全问题大致可以分为以下三类：
l&&盗号木马：用于盗取玩家帐号密码的木马病毒。
l&&钓鱼：假客户端、假输入框、钓鱼网站
& && && &（上图为一个钓鱼网站截图，玩家点击立即充值以后，输入帐号密码即会被盗）
l&&由账号被盗带来的虚拟财产转移、恶意操作三、总结
& && &&&随着腾讯游戏的不断发展，同样也面临着各种各样的网络游戏安全问题。在与外挂、盗号木马、虚假恶意消息、打金工作室、私服对抗的过程中，我们主要通过接入自主研发的腾讯游戏安全平台，利用各种技术方案对安全问题进行及时的解决，为游戏的稳定运营保驾护航。
& && &&&目前腾讯游戏安全平台已经为全公司30多款游戏的客户端提供了保护，上千万的玩家在每天的游戏中能够亲切的感受到安全平台给他们的游戏体验和虚拟财产带来的保障。
& && &&&与此同时，我们也能够看到不少新的游戏自身的安全性提高了很多，但是安全是一个没有终结的对抗过程，只要有利可图，必然有不法者尝试去破坏游戏，而我们也做好了时刻为保障游戏正常运营、提升玩家体验而努力的准备。
请选择禁言时间:
Copyright (C) 1998 - 2013 Tencent. All Rights Reserved.&&腾讯公司 版权所有}