GB_T 32413-2015网络游戏外挂防治.docxVIP

ICS35.240.99

L66

中华人民共和国国家标准

GB/T32413—2015

网络游戏外挂防治

Onlinegamecheatingprogrampreventionandcontrol

2015-12-31发布

2016-07-01实施

中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会

GB/T32413—2015

目次

前言 I

1范围 1

2术语和定义 1

3外挂分类 1

4外挂防治 2

I

GB/T32413—2015

前言

本标准按照GB/T1.1—2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。

本标准起草单位：中国电子技术标准化研究院、上海盛大游戏公司、中国信息产业商会网络游戏产

业分会。

本标准主要起草人：赵菁华、陈胜喜、杜江杰、樊星、张展新。

1

GB/T32413—2015

网络游戏外挂防治

1范围

本标准规定了网络游戏中外挂的分类和防治。

本标准适用于公开测试及运营的网络游戏。

2术语和定义

下列术语和定义适用于本文件，

2.1

外挂cheatingprogram

利用信息技术针对一个或多个网络游戏，实现自动进行游戏的作弊程序，

2.2

加壳packer

对可执行程序、动态链接库文件里的资源进行加密。

2.3

虚拟机环境virtualmachineenvironment

通过虚拟化软件在宿主机上建立的模拟环境。

2.4

多开检测loginsdetection

检测同一游戏用户账户是否通过多个游戏客户端同时登录。

3外挂分类

游戏外挂可分为如下6类：

a)键盘模拟类外挂

通过调用应用编程接口来模拟键盘鼠标操作，并通过解释分析屏幕颜色变化来获取目前的游戏状

态，从而实现一些相对简单的自动挂机功能。

b)系统加速类外挂

通过调用系统应用编程接口改变时钟系统，从而加快游戏运行速度的辅助工具。c)内存及游戏封包协议修改类外挂

通过第三方工具，实现跨进程修改游戏内存，或者修改游戏封包协议的辅助工具。

d)游戏挂机类外挂

为具体游戏定制，通过注入模块到游戏中，实现比较复杂的挂机功能甚至一些恶意功能的程序。e)脱机类外挂

脱离游戏客户端，完全模拟游戏客户端发包，从而实现大批量的自动挂机的程序。

f)其他外挂

利用游戏本地化运算过多或者一些游戏漏洞，恶意刷游戏币、刷等级、恶意对抗的程序，

2

GB/T32413—2015

4外挂防治

4.1键盘模拟类外挂防治措施

键盘模拟类外挂可通过以下监控方法进行防治：

a)监控操作系统用户消息相关函数，防止模拟键盘鼠标操作；

b)监控操作系统屏幕像素读取函数，防止解释分析屏幕颜色变化。

4.2系统加速类外挂防治措施

系统加速类外挂参照如下方法检查并进行防治：

a)监控操作系统时间相关函数的调用，防止时间系统被修改；

b)监控操作系统时钟相关函数的调用，防止时钟系统不一致；

c)通过和服务端进行时钟同步，防止客户端加密。

4.3内存及游戏封包协议修改类外挂防治措施

内存及游戏封包协议修改类外挂可通过以下监控方法进行防治：

a)监控操作系统进程相关函数，防止游戏进程被第三方工具打开；

b)监控操作系统进程对内存读写的相关函数，防止游戏内存被其他进程修改；c)监控操作系统附加进程相关函数、清空调试端口等方式，防止游戏被调试；

d)隐藏进程及进程信息，防止游戏进程被第三方工具找到；

e)对游戏进程内的代码段进行运行时校验，防止关键代码被恶意修改；

f)关键数据(如生命值、人物属性)应加密，防止被搜索。

4.4游戏挂机类外挂防治措施

游戏挂机类外挂可通过以下监控方法进行防治：

a)定期搜集游戏加载的模块，分析是否有其他可疑模块出现；

b)游戏内置动态特征扫描，通过收集外挂信息进行逆向分析并部署新的特征码；c)使用主动防御系统，防止其他模块注入游戏进程；

d)怪物、技能等数据结构复杂化设计(如多级链表方式、多叉树方式等);

e)游戏代码关键部分应加密，防止被分析和调用。

4.5脱机类外挂防治措施

脱机类外挂可通过以下监控方法进行防治：

a)对游戏封包进行动态加密，防止简单模拟；

b)游戏协议结构化，每次发布版本时调整协议结构大小和顺序；