据FairGaurd游戏加固观察,在游戏面临的众多外挂风险中,除了常见的内存修改、模拟点击、注入挂等作弊手段,黑灰产还常用「变速」手段实现作弊。
▲游戏安全风险分布占比图
「变速」顾名思义是指改变游戏运行速度。具体原理为通过 HOOK 游戏内时间相关函数,修改返回值或相关参数,来实现加速/减速两种功能,Windows端常见的变速器为变速齿轮。
▲变速齿轮操作界面
接下来我们将通过案例分析变速齿轮是如何实现变速功能,以及游戏该如何应对面驱动级、进程级变速。
变速齿轮的实现原理为 HOOK 以下三个有关时间的函数:
timeGetTime(记下开始时的时间);
GetTickCount(获取当前毫秒数);
QueryPerformanceCount(获取精确时间)
首先,变速齿轮会记录步骤开始时间,随后获取时间函数的地址,通过 HOOK 操作,跳转到自设函数,并在自设函数中修改返回值或输出参数,具体计算方式为当前时间+(当前时间-开始时间)*想要传入的倍数。
▲调整倍速实现加速快速通关游戏
上述的变速原理是针对进程级的变速,所谓进程级,是指仅针对游戏应用进行变速。而随着与游戏黑灰产对抗的深入,变速外挂的实现也从进程级演进到了驱动级。
在Windows系统中,我们日常的一些操作都是停留在 ring3 (用户态),而涉及到计算机硬件资源的操作,就运行在 ring0 (内核态)。
变速外挂为了躲避游戏常规的检测,会通过获取高维度权限手段,修改内核态的函数。具体表现为变速不仅仅是针对游戏应用,而是整个系统速度。驱动级的变速大大提升了游戏对抗强度,也让传统的检测手段难以排查。
▲变速齿轮的系统级变速功能
因游戏玩法不同,变速外挂会造成不同的影响,如音乐类、跑酷类游戏可以通过放慢速度,大幅度降低游戏难度;而涉及到竞技、养成的游戏则可以加速游戏进度,实现不平等对抗、快速养成等。
变速外挂会严重破坏游戏的公平性,引发正常玩家不满,如果不加以制止,会急剧缩短游戏的生命周期。
针对Windows游戏面临的变速外挂问题,FairGuard定制了专门的应对策略,该方案已接入多款热门游戏并验证了出色的保护能力。
▎反驱动级变速
深入游戏引擎底层,对变速行为进行深度检测,获取具体变速倍数,可精准识别驱动级、进程级的变速,可自行配置闪退处理或封号打击。
丨结语
FairGuard作为专注于游戏安全领域的第三方服务商,致力于帮助游戏公司解决外挂和破解问题,为游戏提供深度一体化的加密保护方案。
目前产品已经被FunPlus、三七互娱、恺英网络、心动、杭州电魂等多家头部公司采用,接入400+款热门游戏。欢迎访问 www.fair-guard.com 了解试用。
产品咨询联系方式:
QQ:2079128588
微信:fairguard01
技术交流QQ群:1105310296