ICS35.240.99 L66 中华人民共和国国家标准 GB/T32413—2015 网络游戏外挂防治 Onlinegamecheatingprogrampreventionandcontrol 2015-12-31发布 2016-07-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 术语和定义 1 ……………………………………………………………………………………………… 3 外挂分类 1 ………………………………………………………………………………………………… 4 外挂防治 2 …………………………………………………………………………………………………GB/T32413—2015 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。 本标准起草单位:中国电子技术标准化研究院、上海盛大游戏公司、中国信息产业商会网络游戏产 业分会。 本标准主要起草人:赵菁华、陈胜喜、杜江杰、樊星、张展新。 ⅠGB/T32413—2015 网络游戏外挂防治 1 范围 本标准规定了网络游戏中外挂的分类和防治。 本标准适用于公开测试及运营的网络游戏。 2 术语和定义 下列术语和定义适用于本文件。 2.1 外挂 cheatingprogram 利用信息技术针对一个或多个网络游戏,实现自动进行游戏的作弊程序。 2.2 加壳 packer 对可执行程序、动态链接库文件里的资源进行加密。 2.3 虚拟机环境 virtualmachineenvironment 通过虚拟化软件在宿主机上建立的模拟环境。 2.4 多开检测 loginsdetection 检测同一游戏用户账户是否通过多个游戏客户端同时登录。 3 外挂分类 游戏外挂可分为如下6类: a) 键盘模拟类外挂 通过调用应用编程接口来模拟键盘鼠标操作,并通过解释分析屏幕颜色变化来获取目前的游戏状 态,从而实现一些相对简单的自动挂机功能。 b) 系统加速类外挂 通过调用系统应用编程接口改变时钟系统,从而加快游戏运行速度的辅助工具。 c) 内存及游戏封包协议修改类外挂 通过第三方工具,实现跨进程修改游戏内存,或者修改游戏封包协议的辅助工具。 d) 游戏挂机类外挂 为具体游戏定制,通过注入模块到游戏中,实现比较复杂的挂机功能甚至一些恶意功能的程序。 e) 脱机类外挂 脱离游戏客户端,完全模拟游戏客户端发包,从而实现大批量的自动挂机的程序。 f) 其他外挂 利用游戏本地化运算过多或者一些游戏漏洞,恶意刷游戏币、刷等级、恶意对抗的程序。 1GB/T32413—2015 4 外挂防治 4.1 键盘模拟类外挂防治措施 键盘模拟类外挂可通过以下监控方法进行防治: a) 监控操作系统用户消息相关函数,防止模拟键盘鼠标操作; b) 监控操作系统屏幕像素读取函数,防止解释分析屏幕颜色变化。 4.2 系统加速类外挂防治措施 系统加速类外挂参照如下方法检查并进行防治: a) 监控操作系统时间相关函数的调用,防止时间系统被修改; b) 监控操作系统时钟相关函数的调用,防止时钟系统不一致; c) 通过和服务端进行时钟同步,防止客户端加密。 4.3 内存及游戏封包协议修改类外挂防治措施 内存及游戏封包协议修改类外挂可通过以下监控方法进行防治: a) 监控操作系统进程相关函数,防止游戏进程被第三方工具打开; b) 监控操作系统进程对内存读写的相关函数,防止游戏内存被其他进程修改; c) 监控操作系统附加进程相关函数、清空调试端口等方式,防止游戏被调试; d) 隐藏进程及进程信息,防止游戏进程被第三方工具找到; e) 对游戏进程内的代码段进行运行时校验,防止关键代码被恶意修改; f) 关键数据(如生命值、人物属性)应加密,防止被搜索。 4.4 游戏挂机类外挂防治措施 游戏挂机类外挂可通过以下监控方法进行防治: a) 定期搜集游戏加载的模块,分析是否有其他可疑模块出现; b) 游戏内置动态特征扫描,通过收集外挂信息进行逆向分析并部署新的特征码; c) 使用主动防御系统,防止其他模块注入游戏进程; d) 怪物、技能等数据结构复杂化设计(如多级链表方式、多叉树方式等); e) 游戏代码关键部分应加密,防止被分析和调用。 4.5 脱机类外挂防治措施 脱机类外挂可通过以下监控方法进行防治: a) 对游戏封包进行动态加密,防止简单模拟; b) 游戏协议结构化,每次发布版本时调整协议结构大小和顺序; c) 游戏资源加密,防止逆向分析出地图、装备、物品、技能等资源信息。 4.6 其他外挂防治措施 其他外挂可通过以下监控方法进行防治: a) 重要逻辑宜放到服务端运算,减少客户端运算; b) 游戏上线前应进行安全测试,减少游戏缺陷; c) 建立事件响应组,对游戏缺陷被利用实现快速响应。 2GB/T32413—2015 4.7 其他防治措施 除上述方法之外,可通过以下监控方法进行防治: a) 对程序文件加壳,防止游戏被简单的反汇编分析,加壳应采用加密壳,加壳后的程序文件应使 用数字签名,防止被杀毒软件误报; b) 使用图形、文字等答题验证机制方法进行防治; c) 检测游戏是否在调试环境或者虚拟机环境下运行; d) 游戏客户端多开检测,主要用来防止脱机类外挂和游戏挂机类外挂的批量上号行为; e) 外挂防治功能在独立的模块中实现,采用和服务器联动的方式防止被剥离,并根据实际情况采 用驱动技术对游戏进行保护; f) 建立外挂特征库机制,更新和完善外挂防治系统特征库。GB/T32413—2015