手游外挂分类及原理介绍

一、前言

移动游戏市场近几年突然爆发，收入规模快速增长。根据第三方数据统计，如图所示，国内移动游戏2015年市场规模已达514.6亿。如此火热的市场，必然会吸引大量图谋不轨的坏人。外挂已在移动市场悄然兴起。
 

目前移动游戏市场上，有多方需求在催促外挂的发展。比如打金工作室，想更高效地刷取游戏货币；大量屌丝玩家，想花少量的钱得到更大快感；竞品公司或者恶意玩家，想恶意破坏游戏正常活动运营。这类外挂会影响到游戏开发商的收益及游戏玩家的体验。作为移动游戏从业者，必须开始了解外挂，关注外挂。本篇幅着重介绍下外挂的相关知识。

二、什么是外挂

外挂，原指一切用来破坏游戏程序正常游戏数据和逻辑的工具或破解版。比如可以修改游戏内存数据的修改器，又比如可以修改网络数据包的抓包工具。这类外挂或多或少会影响游戏的内存数据、文件数据、网络数据，甚至代码逻辑。

但随着外挂市场的发展，外挂衍生出其它恶意变种。这类外挂不会影响游戏数据和逻辑，例如脱机挂、模拟器和脚本精灵。脱机挂是外挂作者逆向游戏协议后独立开发的非法客户端，能让玩家节约很多时间多开刷游戏；模拟器能让玩家在PC上玩移动游戏，在FPS等游戏上能获得更好的操作环境，从而帮助玩家变相碾压对手；脚本精灵则是能录制模拟玩家行为，对游戏事件进行响应，实现自动刷金币经验等功能。但这几类新兴外挂有个共同特性：即是欺瞒游戏服务器，欺瞒客户端、设备和操作者。

结合上面分析，可以给出一个更适合当下移动游戏安全状况的外挂定义：破坏游戏客户端正常数据和代码逻辑，或伪造游戏客户端操作状况的工具或破解版。

三、外挂的分类

移动游戏上已经出现过大量外挂样本，根据其特征可整理如图所示分类图。
 

外挂分类

外挂可分为两大类：辅助和破解版，这两类外挂的核心区别在于：是否需要依赖游戏客户端。辅助类外挂是需要结合游戏客户端运行的；而破解版则是可独立运行的非法客户端。

3.1 辅助

辅助类外挂需要依赖游戏客户端，不能独自生效。根据其作用范围可以再划分为两个小类：专用插件和通用工具。

3.1.1 专用插件

专用插件类外挂，作用范围只针对特定游戏，属于定制化外挂。其存在形式依据平台不同而有所区别，在Android下以SO形式，而在IOS下以dylib形式。比如Android上盛行一时的叉叉和圈圈助手，则是专用插件类外挂的典型。其内部集成了多款Android手游功能插件，针对不同手游注入不同SO实现外挂功能。类似的IOS上也出现过888辅助，针对多款热门手游注入不同Dylib实现无敌、秒怪功能功能。这类专用插件外挂，外挂功能较为灵活，一般都可随时关闭或者开启。
 

圈圈修改器

3.1.2 通用工具

顾名思义，通用工具是针对所有手游，其支持的是通用功能。

内存修改器，用来搜索修改游戏内存数据。在Android平台上较为主流，有烧饼、葫芦侠等典型代表，如下图所示。玩家一般根据游戏面板中的精确数据，利用修改器搜索相应数值，再根据数值变化规律多次搜索排除定位到相应属性在内存中的位置，直接修改成夸张效果值。后期也有各种变种，比如模糊搜索，仅通过数据变大变小来搜索；加密搜索，带有反简单加密（异或加密等）功能搜索。这类修改器外挂，常见外挂功能是改人物属性实现秒怪、无敌等。
 

烧饼修改器

变速器，加快游戏节奏，节省玩家时间；或者减慢游戏节奏，减低操作难度。其影响游戏帧更新频率，可实现加速过关、减速躲技能等外挂功能。有叉叉变速器、烧饼变速器等典型代表，如下午所示。常见外挂功能均是在游戏对局中，利用变速器加速功能，主角和怪物AI的攻击节奏加快，能快速结束战斗。
 

叉叉变速器

按键精灵，模拟用户按键。游戏交易简单版本是直接录制一段固定按键序列，然后循环模拟该按键序列。后续发展成可识别图像触发特定按键。这类外挂典型有触动精灵、按键精灵等，常见于刷部分等重复性操作较多的手游。比如某飞机游戏中，可利用按键精灵随机移动飞机刷副本攒取金币经验。

按键精灵

模拟器，让玩家可在PC上运行手游。这类工具是在PC端运行，主流是海马玩、天天、TGP等。由于PC有较好的鼠标、键盘操作手感，这类外挂工具用在FPS或格斗手游上非常imba。FPS上能快速滑动视角瞄准开枪，格斗手游上能风骚走位释放连招等。
 

TGP模拟器

抓包工具，用于拦截游戏的上下行数据包，可篡改、重发、丢弃。比如XXX。针对没有进行协议加密的游戏，这类外挂工具的危害较大。比如某格斗游戏中曾出现下发人物属性数据包是明文的现象，被玩家发现后玩家直接修改相应属性成较大值即实现了秒怪功能。该工具主要是利用游戏协议方面的漏洞，一方面是协议内容是否加密好；另一方面是协议设计是否存在逻辑漏洞（重发、丢弃数据包是否会出现外挂功能）。
 

WPE网络封包编辑器

3.2 破解版

破解版类外挂本质上是一个非法客户端。常见能分为两类：脱机挂和小修小改的破解版。

脱机挂，是外挂作者基于游戏协议的分析，自己开发的一个游戏客户端。通常情况下，这类客户端都可用来多开直接刷副本等功能，收益巨大。工作室对这类外挂的需求较大。

受损破解版，这里采用受损来定义是因为此类破解版是基于正版客户端修修改改实现的。其功能相对辅助类外挂灵活性不够，一般是一类破解版固定开启一类外挂功能，游戏过程中无法关闭。

四、外挂实现原理简介

不同类型的外挂，其实现原理相差较大。这里根据上述每个外挂分类介绍下其大致实现原理。

4.1 辅助

辅助类外挂是基于游戏客户端，动态修改游戏数据类型外挂。

4.1.1 专用插件

专用插件类外挂，属于定制化外挂，每个外挂只针对一款游戏。这类外挂的实现顾名思义，是插件形式：利用注入技术将功能模块注入到游戏进程空间中，并执行功能模块入口函数。在不同的移动设备上，有不同的注入手段。Android平台上的Zygote注入、直接ptrace注入技术；IOS上利用Cydia框架注入dylib。

外挂功能模块在被注入到游戏进程后，会执行HOOK操作实现外挂功能。外挂作者事先需要逆向分析游戏代码逻辑，找到一些游戏功能函数地址，比如说怪物扣血处理函数。然后在外挂功能模块中通过HOOK操作，挂钩相应函数，改写参数或者调用逻辑（多次回调，或者步调用）。

在底层汇编，HOOK操作可以理解为在特定代码地址，增加个跳转指令跳转到外挂作者自定义函数中。目前已经有封装优秀的三方库支持HOOK操作，外挂作者只需要调用相应接口函数，即可实现对指定函数进行HOOK操作，如substrate。

因此，专用辅助可以很灵活修改游戏代码逻辑，通过多次回调怪物扣血函数实现秒怪、通过屏蔽玩家扣血函数实现无敌等。

4.1.2 通用工具

该类外挂工具，平台或者游戏引擎相关，跟具体游戏无关，实现的是跨游戏的一类外挂功能。

内存修改器，其功能本质是实现对指定进程内存数据的读写。其实现技术主要体现在如何读写游戏内存数据上。可分为两类实现方式，一类和专用插件类似实现，注入一个通用功能模块到游戏进程中，根据本地socket接收操作（搜索修改），直接遍历内存等方式实现；另一类实现，是根据平台加载机制取巧实现，如Android平台下通过/proc/[pid]/maps可读写游戏内存镜像。

变速器，影响游戏时间度量。通常游戏需要以帧为单位播放画面，播放画面过程中计算每帧动画播放所需时间（也可理解为两个画面切换的间隔时间），游戏需要调用C库函数获取系统时间以供计算每帧更新。目前外网主流的游戏加速器，针对不同引擎，加速器修改了不同Libc.so相关函数，如gettimeofday、clock_getime。修改方式则是上面提到的HOOK实现，针对此类lic的导出函数，具体点还可以有导入表HOOK等方式。

按键精灵，调用系统API，发送特定操作序列，模拟用户按键。这类外挂功能的实现，和系统相关性较大，因为其实现是通过相应系统API发送操作事件模拟全局按键。在Android上，可通过Instrumentation接口的sendPointerSync函数实现；也可通过ROOT权限驱动级调用Runtime.getRuntime().exec()执行sendevent等命令。

模拟器，让玩家可在PC上运行手游。PC上的模拟器，目前主要流行的是Android模拟器，其具体产品有TGP、海马玩、天天等模拟器。其核心实现，还是基于VirtualBox模拟Android系统，可直接模拟x86架构的Android系统。

抓包工具，本质是网络数据包编辑器。一类实现方式是基于硬件，比如让网卡处于混乱模式，即可拦截数据包；另一类则是通过HOOK，针对send和recv类函数进行拦截，获得网络数据包。

4.2 破解版

破解版是通过事先静态修改后的独立的游戏客户端。

前面提到的一种脱机挂，在端游上盛行一时。外挂作者前期逆向分析了游戏的网络协议后，可自己编写独立三方客户端。这类外挂技术难度较高，主要体现在逆向分析游戏协议上面。

另一类则是对游戏客户端修修改改后实现的游戏破解版。可以根据修改的客户端数据不同分类：逻辑代码和数据资源。

逻辑代码：Android平台下逻辑代码的修改，根据游戏引擎不同，改的东西也有所区别。常见的cocos游戏，其逻辑代码保存在so，可通过IDA等工具读取修改ARM、THUMB汇编指令；Unity游戏，其C#脚本代码则是保存在/assets/bin/Data/Managed/Assembly-CSharp.dll中，也可通过ildasm等工具转成IL代码进行修改操作。而在IOS平台下，代码都在app的bin文件中，和Android中的so类似，只需要了解THUMB即可。同样的，还有Lua等代码，根据游戏语言不同改的方式也不同。直接修改汇编指令，可改动空间较小，一般实现是修改跳转、参数赋值。比如死亡判断、通关判断、扣血函数参数修改等。IL、Lua等的修改，则相对较为简单。

数据资源：这里的资源，包括除去代码外的一切游戏客户端资源，譬如图片资源、配置资源、音乐资源等。一些破解版是纯粹的美化破解版，没有任何收益，比如说替换背景美女图片等打打广告。但更多的是通过修改资源文件去实现游戏逻辑修改，这类实现需要较多逆向积累，哪些资源较为敏感可能导致外挂功能。找到后，如何去修改也是一个技术难点。有些游戏的安全性不够，资源文件明文存放则非常方便坏人修改；但很多资源会有多多少少进行加密。这里提两个常用的替换资源破解版的实现方法：无脑替换和分析调试。

无脑替换，不管三七二十一，尝试删除资源文件或者替换成空的，甚至将同类型资源文件重命名过来覆盖。这类方法实现的外挂和修改器外挂数量不相上下，一方面是游戏安全性不足；另一方面是这类外挂实现较为简单。比如某飞机游戏上，删除子弹资源即可实现敌机无子弹效果；又比如某酷跑游戏上，覆盖一份XXX_1配置文件到其它前缀相同的配置文件（XXX_2、XXX_3...）中，可实现关卡难度降低等。

分析调试，这类实现效果和替换法一样，但其前期是通过静态分析或者动态调试分析确认资源的作用和加密方式。

由于手游中，总有逻辑相关数据是存放到客户端资源上面，所以此类方法百试不爽。

本篇幅普及了移动游戏上的外挂知识，旨在让行业相关从业者意识到移动游戏的安全问题，并能以此为起点深思促进行业技术发展。