为什么说SO加固+无源码VMP是最佳的Android手游安全保护方案？

本文作者为易盾实验室工程师。

随着移动互联网的高速发展，移动游戏市场也得到了快速发展，与之对应的移动游戏外挂和破解市场也是风生水起，外挂和破解的发展对游戏的玩家体验，以及厂商收益产生了极大的消极影响。为维护游戏运营安全，保障玩家公平的游戏环境，对游戏的保护必不可少。

移动游戏最重要的是部分是资源和逻辑，而游戏引擎则是处理资源和逻辑的关键所在。恶意玩家可以通过游戏引擎获取解密后的游戏脚本或游戏资源，然后修改脚本或资源到达破解的目的；也能通过修改引擎的逻辑达到破解的目的；还可以通过引擎插入自己的脚本或资源实现外挂功能。

因此游戏引擎的保护是迫切的，在Android 游戏中游戏引擎是SO文件，如何保护SO文件成了游戏需要面临的问题。游戏，再怎么考虑安全，也必须要考虑到游戏体验，顺畅的游戏体验对玩家至关重要，一切安全解决方案必须在不影响游戏性能和玩家体验的基础上进行。

目前SO文件保护方案大概可以分为有源保护和无源保护，有源保护分为自解密、混淆、源码VMP等，无源保护分为加壳、VMP保护。

有源保护中的自解密保护的原理是：先加密需要加密的函数或者段，然后再加载SO文件，解密先前加密的函数和段。由于运行后需要解密相关的逻辑，因此破解者只需要在SO文件运行后，DUMP内存，即可获取解密后的逻辑，破解门槛低，因此自解密的保护方式存在安全强度低、维护成本高的缺点。

市面上常用SO源码保护是基于LLVM的混淆，通过指令替换、控制流扁平化和虚假控制流等角度去混淆源码。如下源码为测试源码，试试一个简单的校验函数，测试程序是ARMV7A架构下的编译。

下面是混淆前的控制流程图展示：

对上面的源码进行一些混淆，在增加了虚假控制流、指令替换和控制流平坦化的处理后，控制流的复杂度增加。如下图所示，增加了控制流程图复杂度，加大了逆向分析的难度。基于LLVM的源码混淆比较灵活，可以根据不同的安全需求配置不同的安全策略，混淆程度越高，则性能影响越大，文件膨胀越多。在对游戏影响很小的前提下，混淆能做的比较有限，导致安全强度不够，混淆存在安全强度和性能不可兼得的问题，不好找到平衡点。

由于源码混淆的方案在安全强度方面不够，因而出现源码VMP的解决方案。

相对基于LLVM的混淆，VMP安全强度更高，并且对SO文件的体积影响也较小，加固后的SO主要分为虚拟数据VMData和解释器handler，如下图所示为例子的VMData数据。

解释器handler的控制流

采用VMP保护对原函数执行的性能有比较大的影响，对所有方法VMP是无法满足游戏方对性能的要求。VMP的在不了解VMData和handler的对应关系的情况下，安全强度非常高，若相关的对应关系被破解者掌握，则也可以被还原，不过handler的复杂性一般比较高，并且对应关系可以做到随机处理，因此安全强度是完全满足游戏方的要求。

上面说的基于源码的保护都存在一个相同的问题是接入成本高，需要处理源码就需要有本地工具，特别有些游戏引擎非开源，那基于源码的保护则无法接入。

无源码保护的加壳，市面上对应的加壳的方式有很多，安全强度差异也较大，不过核心是自定义linker。在壳SO文件被执行后需要先解密、还原被保护的SO文件，然后使用自定义linker加载被保护的SO，最后将执行权还给被保护的SO。加固的静态保护强度很高，原SO的蛛丝马迹完全抹去，但是动态执行后会还原部分内容，开发者也可以配合反调试、反Dump等技术使用，弥补SO加固在内存安全强度上的弱点。虽然加固存在着比较明显的弱点，然而加固也存在极大的优势，加固是对游戏性能影响最小，在游戏运行中不会增加任何开支，并且接入成本低，不需要有任何接入的成本。

无源码VMP与基于源码的VMP原理上是相通的，加固处理后最关键的部分依然是虚拟数据VMData和指令解释执行器handler。VMP处理时需要将原指令处理成VMData虚拟数据，并且插入解释器handler，如下图所示为无源VMP的handler。

VMP处理的安全强度高，逆向分析成本高，当然同样存在性能的问题。

根据上面对目前SO文件保护方案的说明，可以发现SO加壳是性能影响最小，VMP是安全强度最高，无源码方案是接入成本最低的方案。采用SO加固+无源码VMP结合的方式即可满足游戏对性能影响最小化的需求，最大程度的减少安全措施对游戏性能的影响，同时满足对游戏引擎的保护需求，在游戏引擎关键地方采用VMP防止破解者逆向分析，保障了游戏的安全。

点击免费体验网易易盾手游智能反外挂服务。