[转]页游安全攻与防

[转]http://danqingdani.blog.163.com/blog/static/1860941952012108115857107/

一、协议安全(swf安全):自动封包 (重点)
页游,最最核心的就是客户端(swf)与服务端的游戏通信了。游戏通信产生的封包,内容是否可识别,可篡改,可重放,处理逻辑是否有漏洞,都决定了这款游戏是否有重大的漏洞。



我们知道页游前端和后台的通信一般有两者方式,一种是http连接,一种是socket连接,前者适用于小型页游,例如内嵌在QQ平台的QQ农场,后者适用于大型页游。



不同的通信方式,产生的数据包格式也不一样,像HTTP AMF的可以使用charles来抓包查看,像sockets的可以使用WPE抓包查看。



以socket 通信为例,协议采用自定义格式,一般由两部分组成,包头与包体,包头一般是固定长度,包体为可变长度。包头一般是一些基本信息,例如包长度,版本号,命令号,用户ID,序列号等;包体就是操作命令对应的接收参数,参数个数不同,参数类型不同会导致包体长度不同。



只要摸清楚协议算法,即包是如何生成的,就可以构造数据包与服务器自由通话,这一后果是非常严重的。自由通话意味着你不需要老老实实的在客户端操作,一条数据包就能代替你一连串的操作,例如发送一条数据包完成一个任务,常用于快速升级,淘宝上的页游代练绝大多数都是采用的这种方式;自由通话更意味着你可以绕过客户端的逻辑判断,传任意参数给服务端。说到这里,你可能觉得只要服务端能正常处理来自客户端的参数,不出逻辑错误,不出配置错误,就万事大吉。这种想法很常见,例如上海宝开公司的某个开发就说过,我们的游戏逻辑判断都在服务端,我们没有外挂。我推测这个人应该不怎么上外网。

理想是丰满的,现实是骨感的,怎么能保证后台不将逻辑写错,策划运营不将配置弄错呢,特别是在高强度的通宵加班后。你可能说靠测试呀,中国页游行业,配给给游戏的测试人员是非常少的,相应的测试时间也是远远不足的,并且测试技术也非常需要提高,总的来说,在页游行业,能做完整协议测试的公司不多。但玩家,特别是从事外挂制作代练服务的打金工作室会“帮你”好好地彻底地做协议测试。他们会先反编译客户端上的SWF文件(缓存中的,内存中的)得到协议生成算法,制作成封包工具,遍历每个协议号,每个参数输入,让你的错误无从遁形。

我见过一个非常聪明的外挂制作者,在外挂中添加了脚本分享平台,号召大家共同摸索,将有问题的封包以脚本的方式上传以供大家下载,这种集思广益真的很妙,脚本的分享会给“找bug”精神奖励,将其帐号公布出来以供大家瞻仰,因此乐意分享的人很多。而且作者还很负责的有脚本审核机制,并支持快捷的查询。这是什么样的用户体验呀,这就是页游外挂界的app store



页游安全攻与防 - danqingdani - 碳基体

 

 




看到这里,你或许想,我保护好SWF文件,不让其逆向不就行了吗?有需求,就有满足需求的地方,市面上有不少给SWF提供加密服务的收费产品,例如Amayeta SWF Encrypt 和 DComSoft SWF Protector ,因为收费,没用过这些产品,不知道具体原理,但据了解,最常用SWF加密方式,就是破坏SWF标准文件头,通过向SWF的二进制文件的文件头写入无意义的数据,从而导致反编译软件无法正常解析SWF文件。下图是使用反编译器打开加密的SWF文件,会提示无法解析

页游安全攻与防 - danqingdani - 碳基体

 




我们可以对比一下采用这种加密方式的swf文件头内容:

(1)未加密swf文件



页游安全攻与防 - danqingdani - 碳基体

 正常的SWF文件,文件头部是由一个三字节的标识符开始,为0×460×570×53“FWS”)或者0×430×570×53“CWS”)其中之一。“FWS”标识符说明该文件是未压缩的SWF文件,“CWS”标识符则说明该文件前8个字节之后(即文件长度字段之后)的全部数据为开源的标准ZLIB方式压缩




(2)加密后的SWF文件



页游安全攻与防 - danqingdani - 碳基体

 


很明显,文件头部变成了无意义的符号。



-----------------------更新部分---------------------------------------------------------------------------------------------------------------

接下来我们看看,常用的SWF文件加密方法(方法来自http://blog.sina.com.cn/s/blog_731fdd2b01010u9k.html ,非常感谢博主)



(1)加密SWF

如下图所示,加密core.swf(core.swf为你需要要加密的SWF文件),加密方法是向core.swf的ByteArray部分写入无意义的数据

页游安全攻与防 - danqingdani - 碳基体

 


(2)解密SWF

如下图所示,在core.swf加载完之后,我们需要把破坏的文件头还原回来,例如使用loader.swf来加载被加密的swf文件,示例代码如下。

页游安全攻与防 - danqingdani - 碳基体

 




(3)隐藏解密密钥

很明显,这种SWF加密方法没什么作用。破解者虽然不能反编译core.swf,但他可以反编译loader.swf来找到解密方法(例如红框标识的关键数字7),然后还原core.swf的文件头,再反编译得到源码。于是大家想着如何用一种无法反编译的实现方法来隐藏加密密钥(例如上图红框中的7)。



目前页游界有两种方式来隐藏密钥,隐藏的原理都是生成无法反编译出源码的二进制文件(反汇编是可以的)。



方法一,Alchemy



利用Alchemy能够编译C/C++代码为AS字节码但无法被反编译的特性来隐藏加密算法。其实我怀疑目前有工具将Alchemy还原成C了,例如ASV(actionscript view 2012)就号称是目前最强悍的SWF解密工具,网上都有该工具的团购消息了。



方法二,Pixel Bender

Pixel Bender可以将加密算法编译成PBJ二进制文件内嵌到SWF文件中以供Flash player加载

页游安全攻与防 - danqingdani - 碳基体

 


遗憾的是,该PBJ文件可以被反汇编,由于用来隐藏密钥,转换的汇编代码比较短,比较容易推测出密钥生成算法。如下图所示



页游安全攻与防 - danqingdani - 碳基体

对应的汇编代码:

页游安全攻与防 - danqingdani - 碳基体

 


Pixel Bender Assembler 在线工具:http://ncannasse.fr/projects/pbj 

--------------------------------------------------------------------------------------------------------------------------------------------



我不懂SWF的加密解密,但我知道有一条万能守则,任何加密在内存中都是解密状态的。当无法解密的时候,就从内存中查找导出吧,我们可以先使用SWF Memory Dumper从浏览器内存中导出解密并解压缩的SWF文件,再用传播程度都烂大街的硕思闪客反编译得到源码。这一方法对游戏协议安全来说,是非常非常非常悲剧的。如下图所示,包的组成结构,包中各个字段的生成算法都可以通过逆向解密SWF文件获得!





页游安全攻与防 - danqingdani - 碳基体

 


 

例如下图为游戏协议结构

页游安全攻与防 - danqingdani - 碳基体

 例如下图就是游戏协议对应的命令号

页游安全攻与防 - danqingdani - 碳基体

 

 


例如下图为游戏配置表

页游安全攻与防 - danqingdani - 碳基体

 

 


更新部分:内存导出的SWF文件反编译转换的AS源码并不包含采用Pixel Bender编写的PBJ二进制文件,需要另外使用反汇编工具得到处理逻辑。



 



一切的一切,都注定了要想完全解决协议安全问题,只有靠AS混淆了。目前有一些收费软件提供AS混淆,例如secureSWF 。但奇怪的是,没有多少页游公司实施AS混淆。



写到这里,或许你会幻想游戏协议算法不会被逆向得知,那不就完事大吉了吗?再次申明,现实是残忍的,即使不知道协议算法,照样可以修改游戏封包。我们可以通过耐心的反复操作来对比封包的不同,定位到修改点。一般使用WPE工具,修改包体。WPE工具的关键就是过滤器,查找到符合指定特征的封包,将特定的位置替换为修改的值。如下图所示,

页游安全攻与防 - danqingdani - 碳基体

 


除了封包篡改,最简单的连封包结构都不要猜测的就是封包重放作弊了,例如打怪是一条封包,只要反复重放该封包,就能轻易刷取经验值了。



好的协议设计,一定要考虑到防御封包篡改和封包重放,最简单的方法是在封包的某个字段加入一个序列号,该序列号包含包体完整性检验值,时间因素值,来区分封包是否是重放的,是否有被篡改。



有了好的协议设计,协议是否安全了呢?协议的实现方法在客户端SWF中,这一事实又讲安全问题引回到SWF被逆向的问题上,只要被成功逆向,一切努力都打水漂了。虽然防御艰难,但也不能放弃,一种方法不行,可以用多种方法。总的来说,为了协议安全,可以做如下措施(不仅仅从技术上):

1.好的协议设计,防重放与篡改 

2.SWF加密 ,注意加密算法的安全,最好AS混淆

3.耐心的做协议检测,开发在提交测试前,做协议测试;测试在完成了功能测试,性能测试后也要搞好协议测试;策划运营对配置表做认真的检查;

4.设计一套监控系统,监控游戏中的收益与消费,大量的刷取物品肯定会在数值变化中体现出来;

5.留意游戏论坛,游戏QQ群里是否有新漏洞的披露,外挂是否有更新;

6.频繁更换加密算法,与外挂制作者PK更新速度






二、自动游戏+加速
自动游戏,简单的说就是模拟鼠标或键盘对游戏UI的操作,代替你做重复的工作。最简单的自动游戏脚本可以使用按键精灵来制作,先对正常操作进行录制,然后编辑,设置热键,最后回放即可。程序实现中一般会有以下几个关键函数
(1)模拟键盘
				

VOID keybd_event( BYTE bVk,// 虚拟键码 BYTE bScan,// 扫描码 DWORD dwFlags, ULONG_PTR dwExtraInfo// 附加键状态 )


(2)模拟鼠标
				

VOID mouse_event( DWORD dwFlags,// motion and click options DWORD dx,// horizontal position or change DWORD dy,// vertical position or change DWORD dwData,// wheel movement ULONG_PTR dwExtraInfo// application-defined information )

自动游戏的作弊方式常见于对战刷怪类游戏,自动识别地图中怪物出现的位置,自动出招打怪,自动拾取掉落宝物。往往还会配合加速外挂,总的来说,就是靠达成那种不知疲倦(脚本操作)、准确度高(自动识别地图中UI特征)、快速(对页游就是加速flash的动画播放速度)的操作方式来快速升级。

自动游戏类型外挂的防御比较简单,增加人机识别的因素,类似于论坛避免批量注册,采用只有人类才能识别的验证码(题外话,不少网站的验证码其实可以机器识别),例如对于对战类游戏,记录每次对战的频率和操作时间特性,对异常的操作弹出图片验证,中断自动游戏。
实施图片验证的时候,要考虑到两个要素:
一是图片是否真正的机器难以识别,要预防简单的像素采集技术;
二是图片库是否及时更新,要预防图片库的遍历。

而加速外挂,也常见于对战类游戏。改变操作速度有两种情况。一种是使用变速齿轮之类的加速外挂加快flash动画播放速度,一种是速度值为游戏中的某个变量值,修改了对应的数值。

对于加快flash动画播放速度的加速外挂,我们可以通过对比客户端服务端时间是否同步来检测,当检测到异常的时候,可以弹出图片验证,中断加速。
页游安全攻与防 - danqingdani - 碳基体

 

对于速度由游戏中数值控制的,做好协议安全,使其无法改封包中对应的数值;做好SWF反逆向保护,使其无法修改源码中控制速度的逻辑。

三、内存安全:内存修改
修改游戏在内存中的数值是经典的单机游戏作弊方法,同样也适用于网页游戏,原因很简单,不可能每个来自客户端的数据,服务端都做验证。(看看页游公司开发前端和后台的比例吧!)以社交类网页游戏为例,其中会内嵌不少小游戏,这些小游戏可能是用来赚取游戏经验或货币等数值的,很显然,这种类型的小游戏基本就是主逻辑在客户端的单机游戏,只是最后将游戏分数上传给服务器,服务器再根据游戏分数的不同来下发相应数额的游戏货币。我们完全可以在积分上传前,在内存中查找并修改该数值。 如下图所示,用cheat engine去查找IE进程中游戏分数。
(cheat engine是我最喜欢的内存修改工具,手游上的内存修改工具和这个比起来简直是胎儿版的。该工具支持自定义格式的内存搜索,具备强大的反汇编功能,更妙的是可以直接生成外挂,特别赞的是竟然采用了游戏通关的方式来教授工具使用,我的博客中有第八关第九关通关方法)
页游安全攻与防 - danqingdani - 碳基体

 

程序实现一般会有以下几个关键函数
(1)读取进程数据ReadProcessMemory
(2) 查找,查找算法可以按数值类型、扫描类型及内存扫描方式来实现
例如数值类型有二进制,1字节,2字节,4字节(游戏最常用),8字节,浮点数,双浮点数,文本,字节数组,自定义(这个最牛);
例如扫描类型可以支持精确查找,模糊查找(比...大,比...小,两者之间),数值变化趋势(数值处于增加中,数值出于减少中,数值没有变动,与首次扫描数值相同,数值增加了某个指定值,数值减少了某个指定值);
例如内存扫描方式有自定义扫描起始与终止地址,同时扫描只读内存,深度扫描,快速扫描,扫描时暂停游戏
(3)写数据WriteProcessMemory

内存修改的防御,有以下几种建议:
(1)重要数值在内存中拆分存放,使其无法简单定位到(会使得游戏逻辑变复杂)
(2)默认可以修改,在服务端控制收益上线。(考虑到成本,为目前主流控制方法)

四、存档安全:存档修改
在flas在flash单机游戏时代,修改本地存档文件,是游戏作弊的重要方式,相信有不少人就用过Flash存档修改器。
页游安全攻与防 - danqingdani - 碳基体

 


              随着页游兴起到现在的页游繁盛,依赖于存档进行逻辑判断的设计减少了,但这块也不能完全忽略掉。总会有一些功能是需要调用本地存档的。例如登录模块中,记住密码功能,会将密码信息存储在本地,以IE浏览器为例,在C:Documents and Settings(你的Windows用户名)Application DataMacromedia Flash Player#SharedObjects些随机数字和字母)文件夹下就可以看到存储密码的SOL文件,可以使用minerva工具查看,如下图所示,密码明文明文存储的,SOL文件是永久性保存的,除非手动清除,如果玩家在公共环境下登录,就会有盗号威胁。
页游安全攻与防 - danqingdani - 碳基体

 也有些开发意识到了这个问题,而采用加密存储方式,一般采用md5(其实md5不是真正的加密算法)。md5解密的在线网站非常多,如下图所示,密码通过两次md5后存储,我们可以在http://www.cmd5.com/ 查到。

页游安全攻与防 - danqingdani - 碳基体

 所以建议存档加密,采用自定义的加密算法,例如md5后转置再md5,等等。


五、帐号安全/充值安全:盗号/低价充值
帐号安全和充值安全不仅页游如此,所有游戏,甚至所有线上应用都如此。如果说开是个大的话题,我仅仅介绍页游中常见的威胁与防御。
(一)、帐号安全
威胁:
1.外挂盗号
例如下面号称可以无限刷取游戏货币的外挂,实际上在用户输入帐号和密码后,将信息发送给盗号者的邮箱。
页游安全攻与防 - danqingdani - 碳基体

 

2. 社工盗号
在游戏中获取信任,以为对方代练等好处为引诱盗取帐号。或通过获取个人信息,从密保问题下手进行盗号。

3.从游戏的帐号管理中心等web入口下手,进行盗号。
例如登录模块没有验证码或验证码实现机制漏洞,使用字典扫描批量盗号

4.传输嗅探盗号

5.利用帐号申诉流程漏洞进行盗号
例如有些申诉打分机制存在提供多次充值证明就可以取回密码的方式,先充值,再盗号。

防御:
1.安全意识宣传
2.弱口令检测
3.异地登录提醒
4.登录行为监控
5.设计好帐号相关功能,例如申诉流程

(二)、充值安全
威胁:
1.社工
在网上发帖慌称发现充值漏洞,骗取贪心网友给自己指定的帐号进行充值
页游安全攻与防 - danqingdani - 碳基体

 

2.利用手机充值漏洞
使用快过期的手机废卡进行充值,大多数的充值不会再次检测手机卡是否存活状态
3.利用宽带充值漏洞
盗取宽带帐号进行充值,由于不会实际影响游戏收益,顶多会出现受害者损失严重的情况下投诉带来的不好影响。
4. 真正的充值漏洞
比如说广泛采用的点卡充值,可能存在点卡被重放使用的漏洞

防御:
1.安全意识宣传
2.充值相关功能的安全检测

结论
---------------------------------------------------
总的来说,页游的各种外挂问题很普遍,端游有的它都有,但安全防御不如端游,这很大程度上是因为页游的开发周期短,生存周期也短,例如较长的神仙道游页才两年了,甚至大多数页游,只是为了短时间洗用户抢钱,因此不会投入人力物力在外挂防御方面,或许第三方的安全服务会有点市场吧,比如说他们乐意购买支持多项目的AS混淆工具。总之,页游是个浮躁的市场,只有生命周期强大的游戏,才会注意到外挂问题。

添加新评论