据观察,近年来游戏黑灰产攻击角度多样化趋势显著,面临工作室、定制注入挂、模拟点击挂、破解版、内存修改挂等多方面安全问题。
据FairGuard数据统计,在游戏面临的众多安全风险中,「内存修改」攻击占比约为11%,主要实现方式为:获取高权限后使用内存修改器对游戏内存进行篡改。
FairGuard数据统计:游戏安全风险占比
内存修改器的本质是具备内存查找、修改功能的通用或者自定义作弊工具。如市面上最常见的常见的GameGuardian 修改器。本文我们将通过实际案例对GameGuardian 修改器进行分析并提出解决方案。
GameGuardian(俗称GG修改器),可提供手动的内存搜索、修改功能。如下图演示,通过GG修改器对游戏金币这一数据进行多次搜索,确定金币内存地址,再对其进行篡改,实现了无限金币的作弊功能。
通过反复搜索定位内存修改金币数量
此外,GG修改器还支持脚本调用,通过脚本可实现定位、修改内存,达到自动破解的效果,这些脚本也是许多游戏外挂传播的主要方式。
GG修改器调用lua脚本实现作弊功能
GG修改器除了本身的内存搜索、修改,还具有反检测的功能,用来防止被游戏检测到。
GG修改器防检测功能演示
据观察,一些修改器变种甚至会通过盗用其他应用的包名来躲避检测。无疑增加了检测难度,如果游戏安全产品对修改器的研究不够深入,在检测的过程中就会出现大量报错的情况。
某修改器变种盗用了微信电话本的包名
由于进行内存修改需要提供root权限,GG修改器常运行虚拟机、虚拟框架等环境。在获取root权限后,可以使用magisk实现对游戏隐藏进程,来躲避游戏检测,让传统的检测手段失效,对抗难度大幅度提升。
GG修改器通过magisk实现对游戏隐藏进程
针对GG修改器及其变种带来的内存修改问题,FairGuard定制了专门的应对策略,该方案已接入多款热门游戏并验证了出色的保护能力。
反内存修改
针对游戏面临的内存修改风险,FairGuard研发了行为检测方案,可对内存修改行为进行精准识别,通杀各类修改器外挂及其变种,做到有效防护。
安全环境检测
采用底层检测手段,精准识别游戏运行环境,如:越狱、ROOT、虚拟机、虚拟框架、云手机等,并提供个性化闪退策略。
Magisk 专项检测
FairGuard独家检测方案,在 Magisk 所有隐藏选项全开的情况下,依旧可以精准识别并进行闪退等操作。