前不久，全球电竞实验室Gosu.ai公布了他们的调查，Valve旗下游戏《DOTA2》中，使用游戏外挂作弊的玩家遍布全球。在游戏行业繁荣的背后，我们看到游戏黑产正在形成庞大的黑产链条，并蔓延至全球，严重威胁着游戏开发商的业务安全......

有意思的是，高居第一竟然是俄罗斯，而不是......

1

游戏外挂

从攻与防，到攻与发现

 一个骨灰级游戏玩家和外挂开发小组的头头告诉Magiccc，从事游戏黑产的人，对商业机会有狼一样的嗅觉，在游戏行业中不断地寻找机会。撇开外挂“非法”身份，我们需要认识到，它的确是具有一定的技术含量。不少黑产圈“大佬”都是从玩游戏，修改游戏过程中，逐步对计算机产生兴趣，并快速成长起来。在这些小小的程序中，往往使用了许多创新技术，同时还要应对每次游戏升级后可能对加密方式进行的调整。那么想要解决对外问题，我们首先就需要了解。

按照外挂实现形式，当前主流外挂又可分为脱机外挂、模拟发包以及内存是外挂三大类：

• 脱机外挂

在不开启游戏客户端的情况下，第三方程序直接与游戏服务器进行通信，模拟账号登陆验证、选择角色、进入游戏、进入场景、开始战斗、对怪物造成伤害等操作时的合法数据包，发送给服务器，而服务器是没有能力判断出这些包是否是客户端发来的，即便有验证手段，由于源码已经泄露，外挂开发者可以轻而易举的模拟出服务端的各种验证机制。即便数据包传送过程中是加密的，由于源码外漏，外挂开发者一样可以正确模拟出数据包的加密方式。

• 模拟发包

与脱机类外挂依赖于游戏开发商的资料外泄，模拟发包的外挂开发者本身可能是游戏开发者出身，对游戏中的逻辑相当了解，他们可以用调试+抓包分析的方法，在没有源码以及通信格式资料的情况下，分析出一些游戏中关键的数据包，并采用一定的模拟发包技术，完成游戏中本身含有的功能。通过注入dll文件，并获取到与服务器通信的socket句柄，在此socket句柄上，将组织好的、合法的数据包再发送到服务器。

• 内存式外挂

没有源代码，也没有游戏开发经验，依然可以进行外挂开发。只要熟练掌握操作系统的各种底层机制，如模块、线程、内存、内核对象、内核机制等技术。通过这些去分析游戏客户端进程中的逻辑和重要数据，之后通过注入dll到游戏进程，操作游戏进程内数据，完成一些特殊功能。当然，客观条件是躲过服务器校验，外挂功能便能成功执行。

针对如上情况，当前游戏开发商传统的应对手段如下：

1、 协议层加密，常规操作是对传输的内容进行加密，但是amf协议是透明的，所以该方法只能干掉一部分只知道用httpwatch/firebug等查看明文http包传输工具的小白。所以又有自定义加密协议，但由于客户端需要知道解密方式，所以客户端本身也需要做好加密。这样外挂发送过来的数据包，服务端无法解析，或者解析出的结果是错误的，而服务端发现客户端发送错误的数据包时，则断开连接，从而对外挂进行拦截。

2、 checksum校验，客户端发送数据时增加一段checksum校验码，服务器端根据相应的算法进行校验，如果校验不通过则返回错误。此类反外挂方式，一些游戏玩家会经常遇到，比如一些游戏中为防止挂机行为而加入的答题机制。

3、 游戏规则策略设置，此类操作仅针对代替人工来做些重复性的工作，这样玩家可以不操作电脑也能在游戏中获得收益。例如，跑商、刷金等常规任务。

但是在巨大利益驱动下，黑产团队已经拥有强大的技术能力，对于网络协议加密，通过研读汇编语言去进行破解，已经是很常见的形态。对于此，我们认为游戏商应该跳出被动防御思维，而从前期发现上去思考。

通过研究我们发现，不管是何种外挂形式，他们都会拥有一个共同特点——团伙作弊。与正常玩家操作不同，使用外挂作弊往往会出现类似重复性的操作，或者异于正常玩家的数据表现。

针对“团伙作弊”，我们的应对就是“团伙发现”。通过对游戏各场景视角剖析，基于游戏场景特点及用户行为数据，利用图卷积神经网络技术，找出存在异常的玩家账户，从而实现对后面可能出现的外挂行为进行预防，规避未来可能出现的风险。

2

明游戏私服

游戏开发商与运营商博弈

与其他游戏黑产不同，私服的出现，更多的是因为在网络游戏的产业价值链中，涉及到诸如游戏开发商、运营商、渠道商、电信运营商等多方利益，在合作过程中很有可能因为利益分配不均、利益冲突等原因而发生矛盾。尤其是开发商和运营商之间，由于游戏公布的时候，功能开发往往只完成了 50 一 60 % ，后续工作需要开发商和运营商双方充分配合，方可完成。

但是，运营商又必须向开发商支付一定的入门费并且承诺在游戏运营的后续阶段按照销售额的一定比例提成给开发商，方可获得该款游戏在一定市场范围内的独家运营权，但是由于双方信息不对称，也很难避免开发商的逆向选择行为。例如，私服的前提是服务器终端程序的泄漏，而这里面开发商是脱不开关系的，甚至出现运营商“内鬼”控制运营私服的现象。

从期初的“盗版”、“侵权”走法律起诉，再到后来的“诏安”，甚至有的游戏开发商开始默许了私服的“合法性”。

《DayZ》开发商宣布承认私服“合法”

3

游戏盗号

从单点防御，到全局部署

与外挂一样，盗号的手段也是各不相同，并已经形成一条完成的利益链条和技术链条，每个环节都有专人负责。

由于现在游戏公司对安全的逐渐重视，发现大多数黑客主要通过撞库、拖库、洗库，另外还有钓鱼、种马等方式进行帐号盗取。据了解，一些黑客拥有数量惊人的账号密码池，里面的账号信息可达七八千万条，利用这些信息，黑客可以借助自动化脚本进行游戏财产搜寻，自动筛选有价值的游戏帐号，也就是俗称的撞库，不过这种精准度普遍较低。还有的黑客会选择钓鱼，他们会在私服外挂或者论坛钓鱼帖中暗藏木马，玩家被吸引点击下载的同时，也泄露了自己的账号信息。此外，还有一小部分高技术黑客会以攻击游戏公司“拖库"的方式盗取游戏账号。

“合法”“撞库” “拖库”“洗库”三个环节关系图

撞库：黑产通过收集玩家已泄露的用户+密码信息，生成对应的字典表，尝试批量登录游戏客户端后，得到一系列密码组合后获取可以登录的账户信息。首先，拿到字典表，然后再用字典中罗列的用户和密码，尝试批量登陆其他游戏。如果玩家图省事在多个网站设置了同样的用户名和密码，黑产很容易就会通过字典中已有的信息，登录到这些游戏中，从而获得玩家账号信息。

拖库：黑产通过入侵，将游戏的注册资料数据库全部盗走，黑话成为“脱裤”。利用玩家的用户名和密码大量泄露信息，黑产反过来登录游戏。

洗库：在游戏黑产中，叫“洗信”（转移账号内虚拟财产）。游戏账号被盗后，这些信息会被层层转手，里面的游戏币、装备等虚拟财产也会被迅速转出变卖。这就是行内所说的“洗信”，也是盗号产业链中利润相对丰厚的一环。

我们上篇文章中说过，而这些账号中，以QQ账号卖价最高。因为QQ极强的社交属性，除了好友外，还有庞大的QQ群。

QQ群用户信息的泄露

也影响到了几乎所有QQ用户的隐私

因为攻击手段多样性，传统的游戏安全思路已经无法系统的解决游戏开发商面对的复杂问题。只有通过游戏场景层面、系统层面的全局部署，从交互安全的视角出发，才能够系统地处理游戏盗号问题。

首先在游戏登录、注册、找回密码以及短信验证等安全级别较高的交互环节，部署“行为验证”，通过分析玩家行为轨迹和设备信息，利用深度学习技术原理，对机器行为进行识别并判断。对机器攻击进行有效拦截，守护游戏端第一道“门”；

然后，剖析各个游戏场景，做到“团伙发现”，帮助游戏开发商快速锁定异常游戏场景行为，及时应对，预防未来存在的风险；

最后，针对游戏本身存在的漏洞及时的进行漏洞扫描。基于丰富且持续更新的漏洞库，对系统进行全局分析和监控，并根据报告给出的分析和修复建议及时予以更新调整，从而先于黑客发现风险，主动应对。

4

游戏刷单刷榜

劣币逐良币，可怕的死循环

在游戏圈内，刷单现象其实很常见。因为与买IP、请代言人、投放广告，甚至长期研发优秀作品等方式相比，刷单刷榜一直是游戏公司获得流量，获得资金最快最有效的方式。

所以，对于刷单现象，你很难用法律法规来规定是否违法或者违规，更多的是行业内的标准，也就是上篇文章提到的“规矩”，大家都是用道德的标准进行约束。各方都在默认这样的潜规则的存在，但是对于整个行业来说好坏影响并存。但是对于玩家以及VC（投资机构）而言，刷单就是欺骗行为，存在极大的风险。

总而言之，对于游戏CP（内容提供商）和开发商来说，刷流水是短时间内产品获得曝光最直接的方法。

对于渠道来说，该产品通过刷流水的行为获得关注，能有效增加渠道的影响力。

同时，刷流水也成为欺骗资本最好的办法。但是用户和流水水分大，无法完成初期的承诺，又可能造成后期无法持续获得投资，甚至影响并购的机会。

刷单虽好，双刃剑难伺候。对于整个行业来说，当尝到刷单的甜头后，只会屡试不爽，一而再再而三，最后整个行业陷入可怕的死循环。

大家会问，游戏黑产如此猖狂，什么时候才能彻底解决。只要利益存在，黑产就会一直自我完善与提升。面对游戏黑产，游戏商与安全服务商需要紧密配合，才能在博弈中与之抗衡。

流量与风控，体验与安全，与黑产的攻防大战还将持续下去......