[发明专利]一种客户端外挂检测与自动封停的系统和方法

说明书

技术领域

本发明涉及一种客户端外挂检测与自动封停的系统和方法，属于网络信息安全领域。

背景技术

随着互联网的不断普及和网络游戏的蓬勃发展，网络游戏逐渐成为人们娱乐生活的一部分，然而游戏外挂严重破坏游戏平衡，外挂使用者通过作弊的形式可以在短期内迅速获取一般用户通过正常游戏时间才可以获得的游戏收益，这极大的损害了所有正常用户游戏的利益和公平性。

外挂是所有游戏无法规避的一个问题。尤其是电脑客户端游戏，目前市场上流行的游戏都有外挂的问题。由于利益的驱动，制作外挂的技术能力越来越强。对抗的技术，成本也会越来越高。可以说无法杜绝外挂。

外挂是所有游戏面临的严峻问题，游戏外挂分类：游戏外挂按实现方式可以分为脱机式与内挂式。

脱机式是指完全脱离游戏客户端程序,可以与游戏服务器自由通讯的外挂程序。开发难度最大,普通的100多开,对游戏的危害最大,严重破坏游戏市场、影响玩家正常游戏、缩短游戏运营周期.正常开发流程:解决反调试保护措施；分析游戏启动参数；逆向分析出游戏加解密算法；逆向分析出地图等资源信息；分析登陆封包,实现脱机登陆及获取角色属性、装备、物品、技能相关信息；具体功能封包分析；整合寻路算法,实现基本挂机；根据工作室需求,完善功能。

内挂式是以游戏客户端程序为载体，依靠客户端程序来完成与游戏服务器的通讯。

目前比较流行的检测外挂的方法如下(1)～(6)所示：

(1)对关键api Hook进行保护，进行网络相关的发送和接收；

(2)动态链接库注入检测可能是挂钩加载库上，也可能是定时检测进程模块；

(3)对于用OD工具进行调试客户端，似乎都没有彻底的办法，一般就是加些花指令，加壳做些干扰，不过这也足以挡住大部分水平不够的作者；

(4)很多游戏都会对PE系统，OD工具，按键精灵，简单游等进行检测，主要是枚举窗口名字，进程名字；

(5)按键类外挂检测，对于后台脚本主要是用获取光标及获取窗口类进行执行，检测窗口位置和鼠标位置是否正确，还有些是对WM_ACTIVE消息进行处理；

(6)对于有些人说检测鼠标点击位置的重复度，这个多半是他们自己的猜想，这样做很容易造成误封。

目前比较流行的反外挂手段如下(1)～(8)所示：

(1)脱机挂以及内挂开发首先必须解决游戏反调试保护,目前主流思想是驱动层进行调试器进程检测、标志位检测，HOOK重要函数等方法以及给游戏执行文件加猛壳利用壳的功能实现反调；

(2)对游戏的启动参数进行加密，启动参数加密是比较容易忽视的地方,加密函数中利用获取瞬间计数之类获取变参,灵活应用注册表或文件操作，判断游戏是否从官方程序启动,再对相关代码段VMP；

(3)检测防多开，即同时开启多个客户端；

(4)代码完整性校验，使用CRC算法对自身的完整效验勾挂函数的完整效验,一些重要代码段另外单独校验，校验相关代码段VMP,必要的话返回服务器中验证；

(5)游戏登陆相关封包进行处理；

(6)敌意进程、模块扫描；

(7)客户端失去响应；

(8)图片答题机制。

目前外挂应对方法一般为：算法解析、自建图库及人工答题。现有技术主要处理的方式是：加密(加壳)、检测、对抗。发现外挂以后禁止启动，禁止登陆，填验证码等等。

这些技术的主要缺点有：技术成本高，在利益的驱动下，开发外挂的技术会越来越强，反外挂的技术成本也会不断的上升；技术反外挂主要在客户端完成，而客户端程序外挂开发者可以完全控制，对抗难度很高；反外挂功能升级必须升级客户端，反应周期长(不可能随时更新)，更新会影响到所有玩家；影响面大，成本高。

现有技术一般都是客户端做检测判断，实时处理。因为客户端受开发外挂者控制，开发外挂可以立即测试外挂效果，这样制作外挂调试效率高。

发明内容

为了克服现有的网络游戏反外挂技术的不足，本发明的目的在于：提供一种客户端外挂检测与自动封停的系统和方法，通过客户端收集检测数据，在服务端用大数据分析的方法来综合分析客户端检测数据以及玩家的行为数据，根据分析结果对使用外挂的玩家进行灵活的处置，从而避免与外挂开发者进行技术竞赛，可以大大降低技术对抗成本，由于可以随时在服务端调整算法，指标，阈值，不需要更新客户端，可以大幅提高反外挂的效率并降低了成本。