ITBEAR首页| 移动版| RSS订阅| 官方微博| APP下载
您的位置:首页>>移动互联
搜索: 标题  

手机游戏盗版现状与保护方案研究分析

发布时间:2016-10-28 18:28:02  来源:互联网   编辑:即时新闻  背景:

  随着用户移动支付习惯的形成,手机游戏付费收入也逐年增长,但在看似繁荣的大好形势下,手游盗版问题一直相伴而生,并且有愈演愈烈之势。所以各大游戏厂商也开始注重手游的安全性,本文和大家一起探讨手机游戏的相关保护方案及效果分析。

   一、 手游安全现状

    1. 盗版游戏现状

  根据360加固保年初发表《2015年Android手机应用盗版情况调研报告》显示:平均每款正版游戏类APP对应66.4个盗版和1.1个盗版签名,比2014年增长了2倍之多,盗版现象十分严峻。

UEditor_snapScreen_tmp.jpg

  2. 盗版数量与游戏类型的关系

  不同游戏类型的盗版数量也有所不同,当下最流行、长期经典的游戏都是盗版重灾区。下图是9类不同的正版游戏和盗版游戏数量之间的关系。可以看出,休闲益智类的盗版数量最多,占总体盗版游戏总数的44%;其次为跑酷竞速类占比15%;解谜冒险类占比12%。

UEditor_snapScreen_tmp.jpg

   二、 游戏保护现有手段与优缺点分析

    1. Top10游戏使用哪些安全保护措施

  手机游戏面对如此严峻盗版问题,游戏厂商又有哪些保护措施呢?

  对360手机助手,豌豆荚,应用宝与百度手机助手10月份下载前10的游戏应用进行分析(共40款APP),其中有进行加固保护的有5款,有做签名校验的18款(其中有5款APP签名校验不通过后会直接杀死进程),有防调试功能的游戏仅有3款。

  也就是说在下载的40最多款APP里,大部分的游戏是不需要经过任何技术对抗,就能直接将其轻松破解并重打包的。此时破解者可以去掉游戏内的支付环节,篡改游戏规则限制、加入自己的广告等等操作。这样一款盗版APP一旦分发出去后,对游戏开发者和用户都将造成巨大损失。

  2. 游戏开源引擎的隐患

  开源引擎给开发者提供很大的开发便利,同时也带来了诸多安全隐患。Cocos2d 与Unity3D游戏引擎是时下比较流行的游戏开源引擎,由于使用的是开源源码,有心的破解者能够阅读源码并找出稳定可靠的破解点,无论是编写自动化破解工具还是降低破解成本都是很有利的。所以接下来我们对使用这两个开源引擎的游戏进行简单的分析。

  1) Top10游戏中Unity3D游戏的保护措施

  Unity3D游戏是基于.net语言的一个3D引擎。游戏逻辑是使用.net语言编写,并在windows系统编译生成dll格式文件。所以Android平台运行Unity3D游戏引擎需要依赖一个.net的虚拟机。目前主流的虚拟机就是mono,一个开源的引擎。通常编译共享库名为libmono.so。

  Unity3D的保护主要遵循两条思路:

  (1) 修改mono源码,对需要解析opcode重新做做映射。修改完opcode映射的mono相当于一种新的语言,保护力度相当大的。劣势是修改源码工作量大,还是需要对dll文件做处理。兼容性稳定性也是很难保障的。

  (2) 另一种思路就是对dll文件进行加密。无论是对文件部分加密还是全部加密,最终mono解析文件时还是得还原成明文。这也是现在普遍使用的一种保护手段。

  对于mono的破解点的选择,函数mono_image_open_from_data_with_name提供了脚本文件的内存地址,文件长度与文件名。是一个很好的破解点。针对思路2,可以在此破解点入口,直接dump 或动态跟踪,按部就班问题都不大。

  按照思路(2),我们调研了一下Top10各个Unity3D游戏的保护力度。提高游戏platformVersion,反签名校验与反调试等保护手段不在本文讨论范围,故不提及。由于涉及游戏厂商的利益,在此就不说明具体游戏应用名。对被保护过Unity3D游戏中的Top10进行了逆向,发现主要有几类保护:

  A:游戏脚本在mono_image_open_from_data_with_name函数前已经被解密,这类脚本保护较弱。直接Hook目标函数,以脚本文件内存地址为首地址,文件长度为内存连续空间,把数据写到文件上既能拿到脚本明文。

  B:游戏脚本改写mono_image_open_from_data_with_name函数,在函数中做解密操作。在目标函数下断点,动态跟踪参数脚本内存地址的值,脚本最终还是会在内存中被解密。

  C:游戏脚本在mono_image_open_from_data_with_name函数,重定向到本地其他文件并做解密,破解该类保护的解决办法和2方法是一样的。

  2) Top10游戏中Cocos2D-Lua游戏的保护措施

  Cocos2d-x游戏引擎是一个支持多脚本语言的开源游戏引擎。这里只对Lua游戏引擎做分析。Cocos2d-lua使用的Lua虚拟机也是一个开源项目。和一般脚本虚拟机一样Lua虚拟机也是先加载Lua脚本并做解析执行。同时Lua虚拟机也可以编译成Luac文件,Lua虚拟机同样也能识别。

  Lua 保护常见的思路有:

  (1) 把Lua脚本编译成Luac格式文件,这样解包拿到的是一些二进制文件。虽然这对破解造成一定的难度,但是随着luac反编译工具的成熟,这种方法也不怎么盛行了。

  (2) 通过修改Lua的opcode也能很好地保护游戏。同样也存在工作量,与修改虚拟机源码问题,由于Lua虚拟机版本迭代快速,这种方法很少见被采纳。

  (3) 打包时加密Lua文件,在Lua函数中添加解密的代码,在运行时解密脚本文件是现在较为流行的一种方案。

  由于内存加解密安全系数比较高,一般开发者会选择在luaL_loadbuffer这个函数做解密。同样这个函数也提供了脚本内存地址,脚本文件大小与脚本文件名这三个重要的参数。

  按照思路(3),我们也对几个游戏的保护力度做了对比。

  Top10 Cocos2d-lua游戏,发现保护方案有以下几种:

  A:重新编译libcocos2dlua.so,修改共享库名称与隐藏共享库符号。该保护虽然给破解者批量破解造成麻烦,但是保护力度不大。

  B:对脚本进行全文件加密,在加载前进行解密。参照Unity3D游戏,动态调试也能破解。

  3. 开源引擎如何更好保护

  对比Unity3D与Cocos2D-lua游戏引擎保护力度,我们可以得出结论尽管开发者有针对性地对自己的游戏做保护对抗,还是轻易地被破解者破解。人生亦如此,付出与回报并不能成为正比。有没有更好的解决办法呢?据360加固保安全研究员介绍,他们目前针对开源引擎游戏研究出全新的技术方案,可以给游戏开发者提供一站式的安全服务。

  三、 360加固保游戏保护方案解析

    1. 游戏脚本保护

  360加固保游戏保护是基于加固保基础加固服务,专门为游戏开发者开发的安全服务。保持加固原有的优势的情况下,针对Unity3D游戏引擎的dll脚本与Cocos2D-Lua游戏引擎的Lua做保护。

  加固保游戏保护方案思路是:获取开发者发布前的正式游戏包,经过加固处理,对游戏脚本文件进行加密。开发者的程序代码保持不变。游戏运行时,所加载的脚本文件在内存中会被解密成原文,进而被程序执行。整个过程透明的,无论是用户还是开发者的程序本身都是无感知的。

  具体流程以下图是表示。

UEditor_snapScreen_tmp.jpg

  此方案的优势:

  1) 高强度文件加密:加固保在做加固处理的时候会对游戏脚本文件做高强度全文件加密,并把密钥打散并一起与解密函数用VMP保护起来。

  2) 透明加密:完全保持开发者自己的代码,应用运行时透明解密,不影响游戏自身的逻辑。

  3) 动态解密防静态破解:只有在游戏运行起来才会才会解密脚本,使保护流程更加隐蔽。

  4) 兼容性好:支持Android2.2 到Android7.0 全版本Android系统。

  5) 稳定性佳:每天超过上千万台设备运行的加固保就是稳定的最好保障。

  以下是加固前后的效果对比:

  加固前共享库:

UEditor_snapScreen_tmp.jpg

  加固前脚本文件明文:

UEditor_snapScreen_tmp.jpg

  加固后共享库:

UEditor_snapScreen_tmp.jpg

  加固后脚本文件密文:

UEditor_snapScreen_tmp.jpg

  由加固效果图可以看出,加固前后除了脚本文件被加密,其他文件均没改动。所以360加固保一方面使得脚本文件被加密,保证了该APP的安全。另一方面也无需开发者参与进来,实现了透明加解密,不需要替换unity3D的引擎,从而保证了游戏的兼容性。

  2. 防挂机辅助工具

  随着手机角色扮演类型网络游戏的盛行,自动挂机辅助工具也更多被玩家用户使用,市面上针对不同需求的挂机脚本在各种论坛与社交群能轻易找到。防挂机辅助工具功能也被添加到加固保游戏保护服务中。

  本方案是从屏幕模拟事件的本质属性来校验,不管辅助工具如何修改进程名称或升级技术方案,都能确保检查结果的确定。准确的检查结果能让开发者实时获知自己的游戏被挂机脚本辅助的情况。按键精灵,蜂窝游戏与脚本精灵均逃不出您的眼睛。

  以下是某游戏在使用按键精灵时的检测结果。

UEditor_snapScreen_tmp.jpg

  图中用户尝试使用按键精灵进行模拟按键,结果被加固保检测到,然后提示“Event Trap”。所以我们可以根据开发者的需求,对类似的挂机辅助工具进行防御。

  3. 防内存修改器与加速器

  本游戏保护服务还添加了防内存修改器与防加速器功能。由于现在辅助的工具使用的技术方案都是大同小异,市面上主流的辅助工具例如八门神器,叉叉助手,烧饼修改器与胡芦侠都能进行防护。

  以上就是关于手机游戏安全保护的一些研究和分析,欢迎和有兴趣的人进行技术交流。也呼吁广大手游开发者,提高应用安全意识,不让破解者有机可乘。

  声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页 本文来源:互联网

本文评论
盘点:苹果近些年收购了哪些AI公司?
毫无疑问,收购是各大科技巨头公司储备技术最简单有效的手段,在人工智能领域显得尤为突出。
日期:07-14
让用户觉得安心的Flyme 在安全方面有什么过人之处?
不同于其他手机功能,安全功能很是低调。正如一位Flyme 用户所说,“这些安全功能默默地保护着...
日期:07-14
为用户支付安全保驾护航 Flyme确实有一套
支付宝官微消息称,将在今年的8月1-8日,携各个活动城市及无现金联盟,打造“无现金城市周”。...
日期:07-14
全面又强大 魅族Flyme安全能力大盘点
当智能手机承载的东西越来越多,与我们的生活和工作密不可分时,手机安全的重要性也更加凸显。提供...
日期:07-13
陌陌8.0版发布 借力视频加速社交内容升级
泛社交泛娱乐平台MOMO升级至8.0版本。该版本最大的变化在首页,将“附近的人”、“...
日期:07-13
招聘电话可信吗?腾讯手机管家号码鉴定小程序一键识别
继画风清奇的毕业照片刷屏网络后,毕业的大学生们加入了求职大军。然而毕业季的求职高峰期,也是诈...
日期:07-13
盛夏已至Windows Phone用户却经历着寒冬
这几天我们正经历着今年以来最强高温,热浪滚滚,烈日炎炎,那叫一个热啊,热成狗,连裤衩都不想穿了。高温天气话题也刷屏网络,“热”也成为街头巷尾热议的话题。
日期:07-12
大王卡正式入驻应用宝发售  使用腾讯系APP流量全免费
作为腾讯与中国联通深度合作推出的流量电话卡——腾讯大王卡,因其对腾讯系应用如微信、...
日期:07-12
网友曝MIUI 9体验:界面设计变化不大
7月12日消息 近期关于小米MIUI 9的消息不少,此前有网友称7月12日——也就是今天就能见到...
日期:07-12
扎堆儿骂百度地图?“政治正确”之外,我们也可以理性一些
近期,百度地图“导航错误”事件在社交网络上引起了不小的争议。网友对于百度地图在搜索...
日期:07-12
720度全景找乐子 百度VR推出独家VR小游戏
几年前,找茬版的游戏深受用户喜欢,长卷轴的形式更是让找茬玩出了新花样。这两年沉寂之后,百度VR...
日期:07-12
腾讯WiFi管家新功能上线,推手机游戏网络加速
7月8日,2017年王者荣耀职业联赛KPL春季总决赛落幕,最终黑马QGhappy以4:0的成绩夺得冠军宝座。其中...
日期:07-11
百度地图“AED地图”成用户“护身符” 数据准确、权威、及时
目前作为地图行业领军者,百度地图正通过AI赋能,加速实现了向“基于大数据的人工智能出行平台...
日期:07-11
或许你不知道 7.1是目前最安全的Android系统
电子设备难免会出现各种安全问题,不管是遭遇恶意软件还是病毒感染。尽管智能手机这样的设备所使用...
日期:07-11
小米最新机明日亮相 MIX2呢?“Chiron”又是个什么“东东”
在手机行业,有些时候,某些具有创新意义的技术、功能被应用,首发手机甚至“全球首款”不一定被人铭记,总是要经历沉淀之后,在未来某个时机,会出现那么一款手机来引领这一风尚。
日期:07-10
任它东西南北风 苹果公司依旧坚挺
近些年,关于苹果公司的唱衰言论,一抓一大把,无论是矫情的华尔街、各家调研统计机构,还是各路媒体、自媒体、以及行业竞争者们,可不断打脸的是,苹果仍是如日中天。
日期:07-10
锤子坚果Pro更新Smartisan OS 3.7,拍照提升显著
双摄技术如今在各家旗舰机上大放异彩,可以说手机影像技术的发展方向已然非常明朗,下一步毫无疑问...
日期:07-10
如何在 iOS 设备上实现“家长控制”功能?
如果你最近打算给自己的孩子购买 iOS 设备的话,你可能会想到一个名叫“家长控制”的功能...
日期:07-10
黑马QGhappy逆袭夺冠!腾讯WiFi管家为KPL总决赛助力
巅峰对决,谁是最终的王者?7月8日,2017年王者荣耀职业联赛KPL春季总决赛历经4个月的赛事,终于落下...
日期:07-09
盘点 史上那些奇葩的玩机神器
作为人类消费技术领域最具革命性的产品,智能手机越来越离不开我们的日常生活,它已经成功地把人类从直立动物“驯化为”“低头动物”。
日期:07-08
 

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!