威胁手游客户端安全的对象有哪些？（一）

点击上方蓝字关注我

背景

手游客户端的开发，往往会引起一批想从游戏中获利、热衷于逆向分析的研究人员的关注，于是手游的安全攻防手段应运而生。这些威胁对象的存在对手游客户端的安全影响很大。影响的结果是：游戏中存在各种外挂脚本、破解版游戏客户端、打金工作室泛滥等，各种作弊行为的出现最终会导致游戏的破坏。手游客户端失衡，玩家流失，最终导致手游收入减少。

接下来，我们分析威胁手游客户端安全的对象有哪些？？？

对操作环境的威胁

模拟器

主流模拟器：夜神模拟器、雷电模拟器、木木模拟器、逍遥模拟器、BlueStacks模拟器、腾讯手游助手、海马畅玩模拟器、地下城模拟器。

模拟器原理：一个基于Qemu，一个基于Genymotion（VirtualBox类）。

模拟器识别：独特的模块、文件、设备、配置、特性等。

对策：

检测模拟器上传数据，调整模拟器玩家对应的策略。例如，在MOBA类型的游戏中，将相同类型的玩家匹配在一起；比如角色扮演游戏，减少了游戏的收入。

（图片来源2020腾讯游戏安全大会）

根权限

根源分析：手机可以获得超级管理员权限。android系统是基于linux内核的。默认不提供超级管理员权限，所以获取su权限的过程就变成了人们常说的root。

根方案：

1. 通过第三方应用

2.进入Recovery模式刷新根包

对策：

Root对抗结合模拟器环境，是否root上传到服务器，结合是否root设置游戏策略。

虚拟机

主流虚拟机：vmos（virtual master）、VirtualXposed、lightspeed虚拟机、X8沙箱、平行空间。

虚拟机危害：免root也能用，插件脚本泛滥，插件操作更简单，虚拟机种类多。

对策：因为手游辅助软件不用root就可以轻松使用，所以应对的办法就是识别到就闪退。

云电话

主流云手机：多多云、红手指、河马云手机、百度云手机等。

云手机原理： 云手机是一种虚拟化技术，最终在云端为用户提供Android实例（操作系统）。用户通过视频流实时远程控制云手机，最终实现原生Android应用和手游的云端操作。

检测方案：

1.通过底层识别方式识别云手机

2.通过风险感知实时反馈异常玩家

3、通过机器学习，依托海量数据库、精准模型、识别新型云真机

4、通过反馈跟踪，根据用户反馈异常情况，进行相似度搜索，查出一批异常云手机播放器

内存安全威胁

修饰符

主流修改器：GG修改器、CE修改器、葫芦娃修改器、章鱼修改器、八门神器、饼干修改器、葫芦侠、茶茶助手、泡椒修改器、晃悠修改器、熊猫人修改器

改性剂原理：

它是通过在进程中打开读取/proc/%d/maps的内存数据，修改内存数据来实现的。

改性剂检测方案：

1、安装环境识别检测

2.运行时进程环境检测

3、数据埋点检测

4、心跳包的构建与检测

5.内存蜜罐检测

对策：

1.检测到游戏崩溃

2、检测到账号被封禁处罚

注入框架

主流注入框架：frida、xposed

弗里达原则：

Frida基于ptrace注入，属于一对一注入。frida 使用 ptrace 附加到进程后，向进程中注入一个 frida-agent-32.so 模块。该模块是frida与frida-server通信的重要模块，所以frida不会一直占用ptrace。注入模块完成后，它会被分离。

Xposed原理：

它通过替换/system/bin/app_process程序来控制zygote进程，使app_process在启动时加载XposedBridge.jar jar包，从而完成对Zyg??ote进程及其创建的Dalvik虚拟机的劫持，因此属于全局注入。

常规测试程序：

1.检测流程模块关键模块frida-agent-32.so、XposedBridge.jar；

2.检测关键文件、包名、端口、调用栈

3.检测底层通信协议

非常规检测方案：

由于frida和xposed都是开源的安卓模拟器按键大师，可以通过修改源码中的关键信息来重新定制版本。因此，对于两种框架的检测，需要检测底层技术方案，并结合游戏的运行策略进行检测。

对策：

1.检测到游戏崩溃

2、检测到账号被封禁处罚

脚本辅助威胁

模拟点击工具

主流模拟答题器：按钮精灵、触摸精灵、脚本精灵、小鸟助手、节点精灵、Xscript工具

模拟器原理：通过记录玩家的操作并反复回放，或通过拾色、认点等方式进行自动操作的辅助程序。用户触摸屏幕并将触摸信号量写入 /dev/input/event 以模拟点击。

对抗策略：上传识别检测数据，进行大数据行为分析，最后结合用户行为数据进行相应的处罚。

威胁摘要

对手游安全对象的威胁主要分为：内存修改、函数调用、模拟点击、协议模拟。其中内存修改类外挂占据了大部分，因此威胁手游安全的主要目标主要集中在修改器和注入框架上。另外，由于文章篇幅有限，仅分析了部分威胁对象。手游安全的威胁对象远不止上述几个部分，如同步器、加速器、反调试等，其余部分将在技术方案实践中进行分析。

（图片来源2020腾讯游戏安全大会）

解决方案

目前主流的手游安全对策：手游客户端访问反作弊检测SDK的模块，调用sdk的功能接口进行检测对策（sdk主要包括jar包和so文件）安卓模拟器按键大师，因此判断手游客户端是否连接已经进入主流的反作弊检测模块，只需要判断游戏客户端的lib目录下是否有反作弊so文件即可。比如游戏接入了迅讯的一款MTP产品，就会有一个libtersafe。如果游戏连接的是依依的易盾产品，那么在游戏客户端的lib目录下会有一个libNetHTProtect.so文件。接入sdk后，最后一步就是对手游客户端进行加固和保护。

结尾

命令

在看

你看起来最好