激情六月丁香婷婷|亚洲色图AV二区|丝袜AV日韩AV|久草视频在线分类|伊人九九精品视频|国产精品一级电影|久草视频在线99|在线看的av网址|伊人99精品无码|午夜无码视频在线

高校合作1:010-59833514 ?咨詢電話:400-810-1418 服務(wù)與監(jiān)督電話:400-810-1418轉(zhuǎn)接2

淺談游戲安全

發(fā)布時間:2024-03-07 16:09:44 瀏覽量:187次

前言

準備來說這個是游戲安全了,安全和測試雖然有部分重合,但因為關(guān)注方向和技術(shù)棧差異還是蠻大的。 當然游戲在安全方向上方方面面,只接觸了其他一部分,這里淺談下這些年的一些小儲備,但只講種類,現(xiàn)在翻新的很快,也不確定是否還實用了。 下面很多都建立在對游戲功能業(yè)務(wù)十分了解。


客戶端反編譯

游戲反編譯意義有很多,比如是對提取資源,代碼以及重新打包。一般公司沒有安全防護的找第三方公司,或者公司本身會有安全防護的都會基礎(chǔ)的防護手段加殼和資源混淆,用非官方的手段進行編譯,并且殼的種類很多,版本也在更新。 如果不加殼,被破解難度會大幅度降低,現(xiàn)在部分殼對游戲影響很小,還有外掛白名單的監(jiān)測功能。 這里主要防護了代碼和資源被破解以及二次打包風險,要獲得更多信息得和了解游戲打包的方式,從下文來看,會發(fā)現(xiàn)這條作用有多大。

反調(diào)式模式

主要是防止進行逆向分析,目前用附加到對應(yīng)游戲進程上,根據(jù)了解去花追蹤的輔助工具和IDA十分強大,只要有足夠的耐心沒有什么是不可以調(diào)式的。 如果說有的話,可以在斷點成功時讓游戲直接掛起后退出,so是否可以選擇只被特定進程加載不確定。 為啥要反調(diào)式,因為有這個的存在可以完成游戲脫機破解和嗅探出游戲內(nèi)部的一些關(guān)聯(lián)。

游戲脫機破解

先得確保游戲不被脫殼,得知道協(xié)議類型,游戲數(shù)據(jù)包包頭結(jié)構(gòu)和消息體組成,一般進行抓包分析,現(xiàn)在把抓包一段段猜和拼出來的。

邏輯問題

使用游戲設(shè)計或者不是實時和數(shù)據(jù)庫和服務(wù)器進行同步的功能。 前者比如一些活動設(shè)計不合理,被小號擼了羊毛轉(zhuǎn)給大號上,靠封小號不是一回事啊,一開始就得想清楚。 后者比如不要被結(jié)合協(xié)議一起給做了或者脫離網(wǎng)絡(luò)完成漏洞的重要環(huán)節(jié)。

協(xié)議安全

也是封包測試的一種,這個也是測試會做的,可以抓包去改,也可以寫框架來測試,主要提高協(xié)議穩(wěn)定性和檢查服務(wù)端校驗疏忽,首先也是得防止脫殼。 這里做起來有二個層面和一個和其他用戶交互項,判斷畸形邊界和根據(jù)游戲數(shù)據(jù)類型設(shè)計特殊溢出的數(shù)字檢查回包一個層面。 第二個層面是多次發(fā)送后,確定服務(wù)端是否有不影響宕機的錯誤日志,如果錯誤日志足夠多也是可以影響服務(wù)器穩(wěn)定性。 修改數(shù)據(jù)結(jié)構(gòu)有幾種組合(這里面說起來簡單,做起來收集數(shù)據(jù)要沉淀) fuzz畸形數(shù)據(jù)+歷史問題數(shù)據(jù) ;有符號無符號數(shù)字的邊界和浮點數(shù)精度問題;下個協(xié)議字段不變,參數(shù)和上個協(xié)議交換數(shù)據(jù)(需要動態(tài)才行) 最后交互是最難的一種(這個模式手動搞過,但想了下開發(fā)到框架內(nèi)部也不是不行) 交互性完成的協(xié)議封包,1對n,進行發(fā)送不合法廣播和發(fā)送合法但不該出現(xiàn)的消息,對其他n個用戶的影響。

內(nèi)存修改

現(xiàn)在字面值類型在內(nèi)存中分段已經(jīng)沒啥用了,主要是驗證客戶端表現(xiàn)和客戶端表現(xiàn)問題后是否會影響服務(wù)器。 因為有些時候的確修改內(nèi)存會讓金錢數(shù)量顯示上變成很多或者背包道具疊加異常,服務(wù)器不會完全信任客戶端。 之前moba游戲就有游戲出現(xiàn)修改某個附加裝備后,會導(dǎo)致1級可以打死3級野怪的情況。

硬件變速

加速和變慢速,只要對其他人不公平的都是有影響的,這部分通常是策劃層面進行防護,開加速跑路,只能靠檢查用戶距離最近幾次坐標變換速度大于正常全buff速度的一定倍數(shù)就踢號。

未來需要關(guān)注的

1.第一個好像這個和游戲業(yè)務(wù)確沒啥關(guān)系,但不得不做啊,隨著等保標準的出現(xiàn)有7大類,50+的檢查,對于app包做一系列掃描檢查工具基本是箭在弦上不得不發(fā)。 可以延伸開發(fā)出7-10個左右的小工具,在定序用持續(xù)集成串聯(lián)起來,下個文章會介紹這些小工具的簡要需求和幾個點的思路。

2.壓測混合會讓服務(wù)器正常條件下出現(xiàn)錯誤信息(前提是大部分情況下會return null拒絕的)

3.利用正常網(wǎng)絡(luò)回包的時候修改發(fā)包頻率的工具,接口或者工具項

4.拿一款修改工具好好二次開發(fā),跟著別人的版本走。

5.關(guān)注輿情,檢查自家游戲是否被盯上了。


本文轉(zhuǎn)載自testerhome;原作者:陳子昂;原文鏈接:
https://testerhome.com/topics/21847

熱門課程推薦

熱門資訊

請綁定手機號

獲取驗證碼
x

同學(xué)您好!

您已成功報名0元試學(xué)活動,老師會在第一時間與您取得聯(lián)系,請保持電話暢通!
確定