有人问我是谁,实际上我也没有什么特别的头衔
在各种论坛上也保持隐身的状态
我并没有工作压力,也是自由职业
所以我从来没有发表什么热门案例
来为自己做背景
我也不需要学一些做反作弊搞营销的空口吹牛逼
手游安全这个安全这么多年都讲太多了
例子太多我都讲不完
手游通用反外挂就是几个点
应用完整性+内存+环境检测
为什么我个人认为我开源的这个基础版就已经可以反住大部分做外挂的人了
因为
我曾经就来源于黑暗
所以在黑暗中我比他们看的更清晰
如果不是什么射击游戏
就是数值游戏等
这个模块可以满足你的大部分防护需求
当然
你的团队在购买反作弊之前是否有真正的了解一些问题?
病急乱投医只会白白浪费项目资金
你过度依赖的保护或许我都干掉过
其实也不能怪谁,能做工业级反作弊的团队太少同样的保护效果大家都在用
一个被饶过100个同时会被饶过
在这5年当中我一直在和团队批量进行一些涉及游戏资产,脱机,作弊的研究工作
可能有不能说的秘密,但是做到现在我们已经具备从屠龙者变成恶龙的能力
为游戏建起护城河
本人接触过对抗过所有主流的加固或壳,有研究1000个以上的商业化游戏经验
对各种反作弊都有过研究
除了头部的几个模块有一些水平
其他就算了吧
当然你还会跟我讲其他乱七八糟的
这没有问题,我都明白
在接下来的时间里,我们决定为手游行业做一些有意义的事情
去开源一款针对安卓手游引擎通用的反作弊模块
并长期优化它
做为朋友
这是你第一次了解我们的方式
也是第一次交换信任
关于正文:
反通用修改器阴间组合拳
虚拟内存膨胀+金丝雀值,不可读碎片3重构建内存演示
(通过运行时给修改器必须要经过的内存区域分配50G的虚拟内存,平均给重要业务内存,所有pc修改器还是gg变种修改器扫10分之一就因为处理不了这么多内存自我崩溃,这可以解决很多第一次lua作弊脚本开发编写和接入了Android-Memory-Debug.hpp此类用户态 跨进程读写库的通用作弊菜单问题,比如这种通过全量扫描编写的lgl变种内存读写菜单,在这么多的内存全量扫描必崩溃,通过案例,某4399游戏项目就存在大量的内存读写脚本和修改器修改,菜单读写库不断骚扰,虽然加密做的很健全,但是项目组还是苦不堪言,如该旗下皇帝成长计划 明明本地核心资产什么都没有,游戏运行时通过云端拉取下载,但外挂菜单还是一大堆,使用修改者都是通过修改内存来实现作弊行为,可以看到下图闲鱼出现大量通过修改器获取内存特征填写入lgl菜单读写库的作弊菜单,内存膨胀就是我们专门针对这些通用读写库的,不管你怎么换,这种读写库必须全量扫描矫正特征码修改,内存膨胀后关键内存区域几十个G一扫就崩溃,并且内存页随机打乱,不存在固定特征,修改器没有办法饶过,在抓取特征那个阶段作弊者已经不可能实现了,3重机制下来,神仙也会被恶心死
全量扫描=崩溃
选中范围区域扫描=极易触发内存碎片被杀
选中范围区域扫描=难以找到真实内存页
扫描筛选数值=触发金丝雀值诱饵被杀
传统修改器读写寻找一个特征内存修改可能只需要3分钟
而在三重保护机制下,修改者的成本被无限拉大几乎不可能抓到内存特征编写脚本或者读写菜单
像cocosjs的这种在核心引擎so有超高强度的保护,如果目标不具备运行时获取密钥能力那么这足以让内存修改者绝望,因为cocosjs.so在运行时很难修改so来篡改游戏数值,修改者必须要进行一轮筛选先获取密钥,再处理已经加入的完整性校验
所以我为什么觉得这个策略针对修改内存作弊的那批货几乎是死局,你仔细想想,有没有道理?对方如果通过内存来修改我的项目,那么他绝对会被恶心致死,当然这个保护不仅针对此类游戏,也针对最近比较热门的超自然行动,这个游戏据我了解2cppdump出来几乎没有核心调用补丁地址,如果你有意识把Unit核心资产写入lua,几乎99%修改者只会通过面具dump手段获取游戏源数据,获取不到他们就会从内存下手,向有所耳闻的如小熊猫这类暴力修改内存就是使用了此类读写库,因为他们只是一群小孩拿着一些市场开源的作弊菜单来篡改游戏,技术含量几乎为0,如果项目组及时采用此类方案,配合完整性保护,那么他们根本就没有制作此类暴力内存外挂的可能性,对于内存修改只有死路)

(这个方案可能在一些人认为激进,虚拟内存不同于物理内存,只有在修改器读写会加载,目前暗区魔方工作室有使用类似的案例,异环该产品也有类似,不过异环的不具备双内存范围的分配强度和反读写检测能力还有金丝雀值检测能力,3种加起来我认为是接近对通用修改器的一种闭环检测方式,当然也存在修改者修改游戏引擎模块运行时的数据段等来补丁绕过我们的3重内存保护策略,所以这就是另一个维度的事情了,只能从加强型的root穿透检测下手直接把他修改器的发生扼杀在摇篮里,其实crc是最好的检测方式但是要做调优这是一个很耗费人力物力的事情,如果现实中crc快照也检测游戏模块,那么误报的风险太大,只有根据业务单独花费时间做部分段的检测测试,时间成本不现实,这里的数据段这些对应着修改器的xa内存范围这些,所以关于这个内存三重检测我讲了很多,这是目前改变内存战场的一种最好的方式,如果目前所有主流游戏都配备了这三种内存检测标准,这足以彻底灭杀那些通过修改器内存特征码延伸出来的外挂,因为90%的外挂都是通过内存而来,在顶尖的反作弊下面可能无感,但对于整个市场来说 几乎所有项目都无法逃过内存修改器的侵蚀,在三重内存检测的防护下再配合穿透型的root检测,模块自身的crc快照运行时几乎无解)

↓视频
通用反vm演示
(通用反所有顽固vm虚拟化沙箱模拟器分身大师小x分身微信分身,通过内核层虚拟化无法伪造的特征部署22种评分机制手段识别)
↓视频
模块运行src快照自检
(通用反运行时 修改器 动态调试器ida等 hook打补丁行为,运行时针对有人动态修改汇编补丁如例:16384这种类似行为关闭检测进行反制,当然这里是举例,这个模块修改这些是没有一点用的,关键的补丁点做了多个破坏检测)
↓视频
通用反修改器演示
(通用反脚本通用反内存读取库反内核读取库行为,配合内存膨胀让修改器获取内存特征时间成本 提高1000倍,运行时分配2048个4kb内存碎片其中还有500个特殊碎片针对内核级修改器,碎片都是不可读的,分配是随机性的,修改器就算使用区域选中扫描也难以躲避碎片并且还要面临金丝雀值地雷,此策略做了安全机制针对一些设备可能有内核层或者游戏助手读取防误触,只有同时扫描15个内存页会触发命中,当然,支持自行调节强度)
↓视频
反注入通用注入演示
(反jshook等注入框架反libtool提取游戏源数据行为,改名的注入so检测到也秒杀)
↓视频
通用反面具内存模块脚本dump转储
(通用反面具内存模块等所有dump源数据行为检测到立即杀死,即使是变种的手机内存dump工具目录下dump也不出任何dump.cs)
因为时间问题其他策略请您自行体验:
其他介绍
增强反调试行为
(覆盖目前看雪热门的绕过反调试文章能力,对变种调试器ida等拥有强大的反调试游戏终止能力)
反加速反沙箱时间加速
(通用内核层对比时间反通用加速器行为)
运行引擎模块隐藏
(反外部hook钩子补丁等调用行为,lgl作弊菜单等渲染菜单外部调用全部失效)
反root环境穿透检测
(通过对模块等各种隐藏自身root环境隐藏挂载的行为进行穿透识别,对杂鱼等高级定制作弊设备拥有极强的检测能力,命中后杀死自身,对于本地重计算的游戏,我们强烈建议您开启该功能,虽然可能会一刀切root,但是root后的设备拥有大量高级调用手段,该版本无法全部阻碍,我们强烈建议您彻底开启此功能来维护公平性,否则防御效果大打折扣,您要面临的是高级的是更成熟的作弊作者攻击)
看门狗检测
(模块运行时通过线程扫描手游逆向工具包名或自定义是否需要杀死自身,如mt管理器和dump工具包名是否同时存在,存在即杀死自身)
金丝雀值
(通过给游戏修改器必经之路的内存分配大量常见修改数值如双精度,浮点,int,0.01,0.05,100,1000,1.1,10000,0.5等修改后立即杀死自身)
中等so层反分析
(项目构建时自带so中等加密策略)
模块支持32 64 x86
x86 32位因为安卓机制安全问题内存膨胀策略我们调节仅分配1g内存上下,防止触发安全机制
开源版只支持这么多功能,因为那些做在办公室年薪几十万的人可能会抄袭我们的策略
部分人虽然是安全班出身,但他们从来没有在底层做过多种实战,检测手段比较古板,还有他们在意的是可以拦住大部分的人就可以了
所以高级作弊者绕过的方案更多,因为外挂不是你拦截了大部分就消失的,只要有一个通过,外挂样本就会迅速扩散
当然这几个较强方案也是经过我们在多个设备上调试的
完整版支持28种高级反作弊特种检测手段,我们插入了更多恶心的阻碍方式来对动态提取cocosjs密钥阻断,运行时模块反通用修改器扫描,多次命中指纹设备下发策略,反抓包检测,反连点器,反算法助手,反特征hook钩子,反内存权限篡改,引擎运行时外部不可写守护,异常模块下发检测等,配合我们自主研发的完整性3角保护通过java层+双so 3个交换检测点同时监控完整性是否被恶意破坏增删改,当然完整性检测模块不在这个版本当中,还有java层的检测机制,需要单独进行加固
至于初衷
我还是想把热点聚焦在反外挂身上
针对大部分手游商业反作弊产品在反作弊上的平庸表现
还有一些老牌加固厂商的尘旧传统检测手段落后
相信您的团队在购买了多个高昂商业壳却仍然被作弊者绕过
您已经有了答案
项目在上线后饱受外挂侵扰
团队需要花费大量时间去对抗低成本的外挂行为
或许你背后的敌人其实只是一群小朋友
对于此
我们通过这些年自身的经验去反研磨检测策略.
开源的它在目前几乎拥有所有反通用内核修改器ce修改器,反调试,反通用钩子,反静态分析
反内存dump,反注入dump,反运行时篡改能力
反Android-Mod-Menu等
.
主流开源渲染菜单的命中能力
我不敢说绝对强大,因为这只是一个开源项目
需要我们不断更新策略
所有人都可以研究,如果你要更完善反作弊菜单附加保护,你的团队项目必须要进行高级完整性校验
的添加
他只是一个运行时的检测,没有完整性的保护
如果你的团队把它用于反运行时的外挂如修改器等那么足够了
目前的它比高昂的黑盒商业反作弊更令大众作弊者恶心
说了这么多,我会详细的告诉朋友你
这个开源项目我们目前添加的检测能力
root穿透检测,加速器检测,vm虚拟化对抗,注入框架检测,crc数据段快照检测,内存膨胀,修改器读取检测
模块隐藏,金丝雀诱饵页检测,运行时身份自检
关于这个项目
这是一个轻量级的反作弊模块,提供完善的日志调试,可以根据业务属性,自由修改字段开关某个策略,开源版本不具备如签名证书完整性的检测,在接入该本地模块后,如果您的业务需要统计作弊和上报作弊或配合玩家账号封禁那么它并不支持,您可以自己去接入某些强大的3角完整性保护来防止项目被2次打包,如果您的项目需要更强大的反作弊策略和高级so加密可以联系我们,我们支持提供超过28种专门针对作弊者和顶级作弊开发者的检测方式,将作弊发生彻底阻碍, 欢迎在文章下留下联系方式,做为攻击者,我们从不座在办公室被动拦截那些作弊者,在我们的项目完善后您可以在正式场合与我们签订反作弊介入支持,这绝对是您的团队在手游反作弊当中见过的最强大的保护和最通用安全的
关于开源版
请订阅我的账号,我们会在下个文章中提供项目仓库
关于未来
目前因为一些加固流繁琐的问题,我们正在完善ios和鸿蒙产品端的表现
目前通过在多个主流设备的测试 我们已经实现了20种以上的高级反作弊识别阻碍方式
为什么我们这么自信?是否不安全?
关于这个模块的通用性是经过我们在主流设备上调试过的
接入方式简单,所有都是本地,您的项目团队哪怕不使用也可以研究反作弊机制或者联系我们进行交流
我们拥有强大的攻击小组在你的项目上线前做安全的逆向测试
还有最重要的
您在平时几乎无法找到任何关于反作弊模块开源的仓库
因为开源对于做加固或者反作弊的团队来说无异于自杀
这件事,我们也是经过深思熟虑,因为我们对我们的完整版足够自信,反作弊的强大来源于经验和长期维护,在这个开源版下作弊者肯定还有遗漏用其他方式通过,这是肯定的,如果您在使用了那些所谓的反作弊后,仍然有严重的外挂问题,欢迎在文章下留下您团队的联系方式
在我们长期维护的完整版下,配合高级so保护和多维度完整性检验,几乎可以阻碍99.9的高级作弊者,当然,您是项目主管或者运营需要看反作弊情况
我们支持
配合专业的项目看板和web自由切换下发策略,您的运营团队可以实时与我们的安全专家布控深度打击策略和样本提交,最快5分钟即可下发目标作弊识别黑名单,也可根据自由调整白名单,高级作弊者在无法剥离我们的sdk模块的情况下被我们发现几乎是必死的局
关于这个项目的缺点,商业版vm进化速度极快,外挂菜单会通过vm环境附加到游戏进程,需要配合安全团队快速适配最新vm检测,如果开源版无法及时维护可能会被vm自身hook注册伪装欺骗绕过
root项目作者可能会对自身项目进行更新的深层隐藏,可能面临小部分root设备欺骗绕过,需要配合安全团队及时更新策略识别
如面对突发新系统的更新,可能会面临兼容性等问题,需要及时联系我们的安全团队 获取更新适配,在出现必要问题时,部分策略需要及时配合云端下发关闭,所以,开源版更多是一种学习,正式的大型项目您需要配合我们的安全团队不断适配以保证长期反作弊支持
调试器检测虽然已经很健壮,但此版本我们无法保障针对新型变种调试器的阻碍,比如某逆向作者用了一种颠覆目前的动态调试方式或市面上几乎闭源的顶级调试手段,那么开源版更不上安全团队的更新,可能会被一些工具绕过,我们的初衷在于彻底封死外挂的可能性,不给作弊者留活路,并且具备所有引擎快速接入能力,所以有任何需要请务必先与我们的安全团队进行联系,您将获取最友好的报价和接入测试,这是给一个初创团队最好的认可
如果您的团队有严重的外挂攻击诱发或攻击情况,可以留下联系方式正式的与我们的高级反作弊专家进行初步对接了解基测情况,在获取您的授权情况下
我们支持配合攻击小组在内部与您签订正式的安全保障合同,覆盖多个攻击维度进行评估,项目上线后我们会定期对市场外挂情况调查更进已便更好的拦截作弊行为
部分策略如root可以根据业务属性采取非一刀切方式或关闭,通过分层先命中+其他策略组合采取是否触发
如root识别 给危险嫌疑不杀
组合是否作弊应用包含3款黑名单包名,如2cppdump应用+mt管理器+gg修改器(高危险作弊玩家)
符合>静默破坏>杀
目前我们的团队非常精致,每个人都拥有大量经验做数据和支撑,一切都是深思熟虑的结果,后续您大概率会看到我们的团队完善的的反作弊产品,和相关营运资质 我们永远认为反作弊的安全和稳定是第一位,其次是作弊者检测能力,我们通过多年的经验和时间几乎还原所有被作弊者挖掘的作弊场景,吸收所有手游反作弊组件能力的不足,即所有于一身,只为倾力打破传统反作弊黑盒,为手游打造至强反作弊护盾
希望不久的未来您的项目能够真正使用到一
款健壮强大反作弊方案
请您订阅我们的账号保持收藏
以便获取开源项目仓库和主要部署流程
和未来关于手游反作弊或相关逆向工具支持教程,我们会有专门的成员在看雪论坛中发布相关分析内容
欢迎您的留言和错误指出
此贴更多是介绍本模块通俗易懂的机制
我们将在下个文章公布该仓库地址
我们目前正在做的云web反作弊支持:


最后于 22分钟前
被霸服w编辑
,原因: