外挂与反外挂 优质课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特征交叉检测
优点:多种特征交叉,检测无样本的外挂, 如工作室挂、多开挂 缺点:交叉过多,打击范围小,交叉过大, 存在误封
图图形验形证 验证
应用场景
登陆验证 游戏过程中验证
评估
优点:减少大量角色排火车 缺点:易用性有影响
图图形形验证验证
腾迅
应用:寻仙,穿越火线
图图形形验证验证
盛大
应用:传奇
图图形形验证验证
谢谢观看
韩国Hack-Shield
应用:劲舞团,跑跑卡丁车
主主动防动御 防御
网易 NECheck
应用:梦幻西游
主主动防动御 防御
巨人HProtect
绿色征途、征途2
虚虚拟拟加密加密
VMProtector
虚虚拟拟加密加密
Themida TMD
特特征码征检测码检测
样本检测
优点:灵活,隐蔽,兼容性高,可控 缺点:无样本的外挂,检测难度高
定点打怪挂
按功能区分
任务挂
按功能区分
副本挂
按功能区分
采集挂
按功能区分
加速挂
按功Байду номын сангаас区分
加速挂
按功能区分
飞天遁地穿墙挂
按功能区分
多开挂
按功能区分
脱机挂
脱机挂
优点:独立运行,不需要游戏客户端, 效率极高,一机可开上百个号
缺点:开发周期长,无通用性 危害:
第二篇 反外挂方法
反外挂的方法
PP功能
自动更新
反外挂独立更新
兼容性
和各杀软兼容 兼容所有32位 windows2000,xp,2003,vista,2008,win7)
支持64位
如何加入PP
Launcher
MyCreateProcess()
Game
StartPP(),StopPP(),以及其他检测接口
PP的实际效果
2010年数据
外挂与反外挂
数据安全 反外挂小组
吴明洲 2011.9
第一篇 外挂分类
分类方法
开发实现 外挂功能
开发实现
内存挂
随意修改游戏数据 随意发送数据包 支持功能脚本编写 通用性为0
模拟挂
模拟键盘鼠标 屏幕取色判断 支持功能脚本编写 通用性强 效率有限
内存挂
内存挂
脚本挂
脚本挂
脚本挂
武林脚本
按功能区分
2011 龙之谷外挂作者被抓
法律打击
2005 北京首起网游外挂案 2006 传奇3G外挂案 2007 瑞星副总外挂案 2007 霸王精灵外挂案 2008 热血套子外挂案 2009 泡泡堂外挂案 2010 盛大传奇偷懒猪外挂案 2010 盛大永恒之塔开拓者外挂案 2010 反恐精英OL 神枪手外挂作者被抓 2011 蜗牛网页游戏外挂作者被抓
建筑隐藏 短时间内加速
反外挂模块
主动防御 虚拟加密 特征码检测 图形验证
主主动防动御 防御
防范常用工具 增加外挂难度 增加盗号难度 检测驱动外挂
主主动防动御 防御
腾迅TenProtect
应用:如DNF
主主动防动御 防御
盛大GPK
应用:传奇,龙之谷
主主动防动御 防御
韩国NP
应用:永恒之塔
主主动防动御 防御
搜狐畅游
应用:天龙八部
图图形形验证验证
麒麟
应用:成吉思汗
图图形形验证验证
网龙
应用:魔域
图图形形验证验证
完美世界
图图形验形证 验证
图图形形验证验证
反外挂模块与破解方式
反调试 游戏内存保护 游戏窗口保护 虚拟加密 特征码检测 图形验证
反反调试 调用底层函数破解 调用底层函数破解 局部解密 隐藏特征 人工回答
玩家举报
优点:发现及时,减少影响 缺点:人为处理,难以区别
玩家举报
法律打击
优点:震摄心理,树立形象 缺点:取证困难,诉讼过程漫长
法律打击
2005 QQ幻想外挂案 1年6个月
法律打击
2006 QQ音速外挂案 一年 2008 QQ自由幻想饕餮(tāo tiè)外挂案
法律打击
2009 泡泡堂外挂案
策划设计 程序设计 反外挂模块 玩家举报 法律打击
策划设计
反外挂方案
内挂 绑定游戏币 精力、活力限制 环任务 任务随机化 任务PVE,技巧性
破解方式
全自动,变态功能,示例 采集挂、副本挂,示例 批量注册、循环上号 任务挂,示例 海量遍历,示例 暂无破解
程序设计
反外挂技术
碰撞检测 移动速度检测
破解方式
第三篇 完美世界反外挂现状
部分成果
第四篇 PerfectProtector简介
PP简介
基本操作系统内核 主动防御技术 VMP虚拟加密 检测驱动外挂
PP功能
反调试
禁用调试中断 禁用调试函数
内存保护
禁止内存读写 禁止全局钩子注入 禁止远程线程注入
PP功能
窗口保护
保护游戏窗口句柄 禁止非法窗口消息
父进程检测
只允许launcher开启游戏,禁止第三方启 动工具
PP功能
虚拟机检测
检测vmware,vbox,virtual-pc等虚拟机环境
多开限制
可有效限制或检测出客户端多开数
PP功能
驱动loader技术
便于更新 解决网吧驱动防火墙问题
GACD接口
对GACD提供功能函数 能检测出隐藏更深的外挂
法律打击
2009 穿越火线远洋社区外挂案 2009 DNF天马外挂案 2009 DNF萝卜游侠外挂案
法律打击
2010 DNF流量外挂案
法律打击
2010 DNF科比外挂案
法律打击
2010 泡泡堂不死外挂作者被抓
法律打击
2011 冒险岛游戏外挂作者被抓
法律打击
2011 星辰变外挂作者被抓
法律打击
PP的实际效果
2011年数据
PP的实际效果
外挂群的反应
老游戏情况
老游戏情况
第五篇 一个实际的例子
盗号的方法 隐藏建筑 飞天
盗号的方法
窃取用户名
盗号的方法
窃取用户名
盗号的方法
窃取密码
盗号的方法
窃取密码
建筑隐藏
飞天
总结
策划要尽早 程序检测好 反外挂模块要搞好 玩家举报马上搞 法律打击不能少
优点:多种特征交叉,检测无样本的外挂, 如工作室挂、多开挂 缺点:交叉过多,打击范围小,交叉过大, 存在误封
图图形验形证 验证
应用场景
登陆验证 游戏过程中验证
评估
优点:减少大量角色排火车 缺点:易用性有影响
图图形形验证验证
腾迅
应用:寻仙,穿越火线
图图形形验证验证
盛大
应用:传奇
图图形形验证验证
谢谢观看
韩国Hack-Shield
应用:劲舞团,跑跑卡丁车
主主动防动御 防御
网易 NECheck
应用:梦幻西游
主主动防动御 防御
巨人HProtect
绿色征途、征途2
虚虚拟拟加密加密
VMProtector
虚虚拟拟加密加密
Themida TMD
特特征码征检测码检测
样本检测
优点:灵活,隐蔽,兼容性高,可控 缺点:无样本的外挂,检测难度高
定点打怪挂
按功能区分
任务挂
按功能区分
副本挂
按功能区分
采集挂
按功能区分
加速挂
按功Байду номын сангаас区分
加速挂
按功能区分
飞天遁地穿墙挂
按功能区分
多开挂
按功能区分
脱机挂
脱机挂
优点:独立运行,不需要游戏客户端, 效率极高,一机可开上百个号
缺点:开发周期长,无通用性 危害:
第二篇 反外挂方法
反外挂的方法
PP功能
自动更新
反外挂独立更新
兼容性
和各杀软兼容 兼容所有32位 windows2000,xp,2003,vista,2008,win7)
支持64位
如何加入PP
Launcher
MyCreateProcess()
Game
StartPP(),StopPP(),以及其他检测接口
PP的实际效果
2010年数据
外挂与反外挂
数据安全 反外挂小组
吴明洲 2011.9
第一篇 外挂分类
分类方法
开发实现 外挂功能
开发实现
内存挂
随意修改游戏数据 随意发送数据包 支持功能脚本编写 通用性为0
模拟挂
模拟键盘鼠标 屏幕取色判断 支持功能脚本编写 通用性强 效率有限
内存挂
内存挂
脚本挂
脚本挂
脚本挂
武林脚本
按功能区分
2011 龙之谷外挂作者被抓
法律打击
2005 北京首起网游外挂案 2006 传奇3G外挂案 2007 瑞星副总外挂案 2007 霸王精灵外挂案 2008 热血套子外挂案 2009 泡泡堂外挂案 2010 盛大传奇偷懒猪外挂案 2010 盛大永恒之塔开拓者外挂案 2010 反恐精英OL 神枪手外挂作者被抓 2011 蜗牛网页游戏外挂作者被抓
建筑隐藏 短时间内加速
反外挂模块
主动防御 虚拟加密 特征码检测 图形验证
主主动防动御 防御
防范常用工具 增加外挂难度 增加盗号难度 检测驱动外挂
主主动防动御 防御
腾迅TenProtect
应用:如DNF
主主动防动御 防御
盛大GPK
应用:传奇,龙之谷
主主动防动御 防御
韩国NP
应用:永恒之塔
主主动防动御 防御
搜狐畅游
应用:天龙八部
图图形形验证验证
麒麟
应用:成吉思汗
图图形形验证验证
网龙
应用:魔域
图图形形验证验证
完美世界
图图形验形证 验证
图图形形验证验证
反外挂模块与破解方式
反调试 游戏内存保护 游戏窗口保护 虚拟加密 特征码检测 图形验证
反反调试 调用底层函数破解 调用底层函数破解 局部解密 隐藏特征 人工回答
玩家举报
优点:发现及时,减少影响 缺点:人为处理,难以区别
玩家举报
法律打击
优点:震摄心理,树立形象 缺点:取证困难,诉讼过程漫长
法律打击
2005 QQ幻想外挂案 1年6个月
法律打击
2006 QQ音速外挂案 一年 2008 QQ自由幻想饕餮(tāo tiè)外挂案
法律打击
2009 泡泡堂外挂案
策划设计 程序设计 反外挂模块 玩家举报 法律打击
策划设计
反外挂方案
内挂 绑定游戏币 精力、活力限制 环任务 任务随机化 任务PVE,技巧性
破解方式
全自动,变态功能,示例 采集挂、副本挂,示例 批量注册、循环上号 任务挂,示例 海量遍历,示例 暂无破解
程序设计
反外挂技术
碰撞检测 移动速度检测
破解方式
第三篇 完美世界反外挂现状
部分成果
第四篇 PerfectProtector简介
PP简介
基本操作系统内核 主动防御技术 VMP虚拟加密 检测驱动外挂
PP功能
反调试
禁用调试中断 禁用调试函数
内存保护
禁止内存读写 禁止全局钩子注入 禁止远程线程注入
PP功能
窗口保护
保护游戏窗口句柄 禁止非法窗口消息
父进程检测
只允许launcher开启游戏,禁止第三方启 动工具
PP功能
虚拟机检测
检测vmware,vbox,virtual-pc等虚拟机环境
多开限制
可有效限制或检测出客户端多开数
PP功能
驱动loader技术
便于更新 解决网吧驱动防火墙问题
GACD接口
对GACD提供功能函数 能检测出隐藏更深的外挂
法律打击
2009 穿越火线远洋社区外挂案 2009 DNF天马外挂案 2009 DNF萝卜游侠外挂案
法律打击
2010 DNF流量外挂案
法律打击
2010 DNF科比外挂案
法律打击
2010 泡泡堂不死外挂作者被抓
法律打击
2011 冒险岛游戏外挂作者被抓
法律打击
2011 星辰变外挂作者被抓
法律打击
PP的实际效果
2011年数据
PP的实际效果
外挂群的反应
老游戏情况
老游戏情况
第五篇 一个实际的例子
盗号的方法 隐藏建筑 飞天
盗号的方法
窃取用户名
盗号的方法
窃取用户名
盗号的方法
窃取密码
盗号的方法
窃取密码
建筑隐藏
飞天
总结
策划要尽早 程序检测好 反外挂模块要搞好 玩家举报马上搞 法律打击不能少