GB/T 32413-2015 网络游戏外挂防治

　　ICS 35.240.99 L 66

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 32413—2015

　　网络游戏外挂防治

　　Onlinegamecheatingprogram prevention and control

　　2015-12-31发布 2016-07-01实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　发

　　布

　　GB/T 32413—2015

　　GB/T 32413—2015

　　前 言

　　本标准按照 GB/T 1. 1—2009给出的规则起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任 。

　　本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归 口 。

　　本标准起草单位 : 中国电子技术标准化研究院 、上海盛大游戏公司 、中国信息产业商会网络游戏产业分会 。

　　本标准主要起草人 :赵菁华 、陈胜喜 、杜江杰 、樊星 、张展新 。

　　网络游戏外挂防治

　　1 范围

　　本标准规定了网络游戏中外挂的分类和防治 。

　　本标准适用于公开测试及运营的网络游戏 。

　　2 术语和定义

　　下列术语和定义适用于本文件 。

　　2. 1

　　外挂 cheatingprogram

　　利用信息技术针对一个或多个网络游戏 ,实现自动进行游戏的作弊程序 。

　　2.2

　　加壳 packer

　　对可执行程序 、动态链接库文件里的资源进行加密 。

　　2.3

　　虚拟机环境 virtualmachineenvironment

　　通过虚拟化软件在宿主机上建立的模拟环境 。

　　2.4

　　多开检测 loginsdetection

　　检测同一游戏用户账户是否通过多个游戏客户端同时登录 。

　　3 外挂分类

　　游戏外挂可分为如下 6类 :

　　a) 键盘模拟类外挂

　　通过调用应用编程接口来模拟键盘鼠标操作 ,并通过解释分析屏幕颜色变化来获取目前的游戏状态 ,从而实现一些相对简单的自动挂机功能 。

　　b) 系统加速类外挂

　　通过调用系统应用编程接口改变时钟系统 ,从而加快游戏运行速度的辅助工具 。

　　c) 内存及游戏封包协议修改类外挂

　　通过第三方工具 ,实现跨进程修改游戏内存 ,或者修改游戏封包协议的辅助工具 。

　　d) 游戏挂机类外挂

　　为具体游戏定制 ,通过注入模块到游戏中 ,实现比较复杂的挂机功能甚至一些恶意功能的程序 。

　　e) 脱机类外挂

　　脱离游戏客户端 ,完全模拟游戏客户端发包 ,从而实现大批量的自动挂机的程序 。

　　f) 其他外挂

　　利用游戏本地化运算过多或者一些游戏漏洞 ,恶意刷游戏币 、刷等级 、恶意对抗的程序 。

　　GB/T 32413—2015

　　4 外挂防治

　　4. 1 键盘模拟类外挂防治措施

　　键盘模拟类外挂可通过以下监控方法进行防治 :

　　a) 监控操作系统用户消息相关函数 , 防止模拟键盘鼠标操作 ;

　　b) 监控操作系统屏幕像素读取函数 , 防止解释分析屏幕颜色变化 。

　　4.2 系统加速类外挂防治措施

　　系统加速类外挂参照如下方法检查并进行防治 :

　　a) 监控操作系统时间相关函数的调用 , 防止时间系统被修改 ;

　　b) 监控操作系统时钟相关函数的调用 , 防止时钟系统不一致 ;

　　c) 通过和服务端进行时钟同步 , 防止客户端加密 。

　　4.3 内存及游戏封包协议修改类外挂防治措施

　　内存及游戏封包协议修改类外挂可通过以下监控方法进行防治 :

　　a) 监控操作系统进程相关函数 , 防止游戏进程被第三方工具打开 ;

　　b) 监控操作系统进程对内存读写的相关函数 , 防止游戏内存被其他进程修改 ;

　　c) 监控操作系统附加进程相关函数 、清空调试端口等方式 , 防止游戏被调试 ;

　　d) 隐藏进程及进程信息 , 防止游戏进程被第三方工具找到 ;

　　e) 对游戏进程内的代码段进行运行时校验 , 防止关键代码被恶意修改 ;

　　f) 关键数据(如生命值 、人物属性)应加密 , 防止被搜索 。

　　4.4 游戏挂机类外挂防治措施

　　游戏挂机类外挂可通过以下监控方法进行防治 :

　　a) 定期搜集游戏加载的模块 ,分析是否有其他可疑模块出现 ;

　　b) 游戏内置动态特征扫描 ,通过收集外挂信息进行逆向分析并部署新的特征码 ;

　　c) 使用主动防御系统 , 防止其他模块注入游戏进程 ;

　　d) 怪物 、技能等数据结构复杂化设计(如多级链表方式 、多叉树方式等) ;

　　e) 游戏代码关键部分应加密 , 防止被分析和调用 。

　　4.5 脱机类外挂防治措施

　　脱机类外挂可通过以下监控方法进行防治 :

　　a) 对游戏封包进行动态加密 , 防止简单模拟 ;

　　b) 游戏协议结构化 ,每次发布版本时调整协议结构大小和顺序 ;

　　c) 游戏资源加密 , 防止逆向分析出地图 、装备 、物品 、技能等资源信息 。

　　4.6 其他外挂防治措施

　　其他外挂可通过以下监控方法进行防治 :

　　a) 重要逻辑宜放到服务端运算 ,减少客户端运算 ;

　　b) 游戏上线前应进行安全测试 ,减少游戏缺陷 ;

　　c) 建立事件响应组 ,对游戏缺陷被利用实现快速响应 。

　　4.7 其他防治措施

　　除上述方法之外 ,可通过以下监控方法进行防治 :

　　a) 对程序文件加壳 , 防止游戏被简单的反汇编分析 ,加壳应采用加密壳 ,加壳后的程序文件应使用数字签名 , 防止被杀毒软件误报 ;

　　b) 使用图形 、文字等答题验证机制方法进行防治 ;

　　c) 检测游戏是否在调试环境或者虚拟机环境下运行 ;

　　d) 游戏客户端多开检测 ,主要用来防止脱机类外挂和游戏挂机类外挂的批量上号行为 ;

　　e) 外挂防治功能在独立的模块中实现 ,采用和服务器联动的方式防止被剥离 ,并根据实际情况采用驱动技术对游戏进行保护 ;

　　f) 建立外挂特征库机制 ,更新和完善外挂防治系统特征库 。