【ITBEAR】9月29日消息,在游戏行业的发展历程中,外挂与反外挂的斗争始终是一条核心线索。从早期的《石器时代》、《冒险岛》到如今热门的《绝地求生》、《CS2》,外挂如同游戏世界的“掘墓人”,严重破坏了游戏的公平性和环境。尽管玩家对诸如金山游侠、风灵月影等外挂工具津津乐道,但游戏厂商对此却深感忧虑。
为了延长游戏的生命周期,各大游戏厂商在外挂打击上各显神通。腾讯游戏近期宣布了一项新的反作弊措施——反作弊预启动模式,旨在提供一个更加安全、可靠的游戏环境。《穿越火线》和《无畏契约》将成为首批支持该功能的游戏,据腾讯游戏介绍,这一新模式将大幅降低作弊或账号安全风险。
与传统的腾讯游戏安全(Anti-Cheat Expert)方案相比,反作弊预启动模式的主要创新在于其对玩家的保护从游戏启动扩展到了整个操作系统的运行周期。这一模式会跟随Windows操作系统开机启动,并在操作系统启动阶段开始加载,而非与游戏一同启动。
为何腾讯游戏要推出这一新模式?原因在于现有的反外挂、反作弊手段已经显得力不从心。传统的游戏外挂主要以软件形式存在,它们利用游戏厂商为降低服务器计算压力而将大量计算放在客户端的特点,渗透到客户端与服务器端的数据通讯中。针对网络数据链路上的不同节点,诞生了内存挂、封包挂等多种外挂形式。因此,反调试、ROOT检测、反HOOK、虚拟化、完整性验证等也成为了目前反外挂工具的基本功能。
以腾讯的TenProtect为例,它采取内核驱动接管系统级别的权限,实现了禁止调试器、扫描硬盘、隐藏游戏进程等效果。尽管TenProtect在驱动层直接hack系统可能导致一系列不稳定现象,但在反作弊技术层面,它确实名列前茅。
然而,如今外挂软件也迎来了新的挑战,硬件级别的外挂开始出现。近年来,一种名为DMA的外挂席卷了FPS网游,从腾讯的《CF》、《无畏契约》到valve的《CS2》,再到EA的《APEX》和动视暴雪的《使命召唤》都未能幸免。而现有的反作弊工具如BettlEye、VAC以及TenProtect都对此束手无策。
DMA外挂利用直接访问内存技术(Direct memory access)读取和修改玩家的内存数据,并将数据导出到其他设备上显示。其特点是不需要CPU的干预,直接服务于外设。黑产通过FPGA(现场可编程门阵列)开发板刷仿真固件,让反作弊软件认为搭载了外挂程序的硬件是正常的声卡、网卡、硬盘。
DMA外挂的强大之处在于反作弊软件只能覆盖一台开启了该功能的设备,对于运行外挂程序的FPGA开发板无法实现有效监管。因为运行外挂的FPGA开发板通常都是插在另一台电脑上的,开挂者往往是一台电脑正常游戏,另一台电脑则用于显示对局中其他玩家的位置信息。
但游戏是运行在操作系统中,无法通过操作系统验证硬件到底是什么,这就是DMA外挂的棘手之处。因此,DMA外挂完全有条件伪装到无法被任何技术手段检测到。然而,DMA外挂也有一个致命弱点,即它并不是Windows操作系统的一部分,所以也无法做到开机自动配置运行环境。
腾讯此次推出的反作弊预启动模式正是针对DMA外挂的这一缺陷。当反外挂程序与Windows一起启动,也就意味着电脑的桌面刚显示出来,程序就已经在后台运行了。这时候如果开挂玩家启动DMA外挂,自然就会被抓住。但这一模式也并非没有代价,不间断地扫描硬盘会带来不可忽视的性能开销,电脑变卡几乎是必然的结果。这一点是否值得,就看玩家们怎么想了。
