游戏防破解（游戏防破解代码）〔游戏防破解机制怎么破〕

【黑客同盟 2016年09月29日讯】受到开辟 时间的限定 ，开辟 者必要 与时间比赛 ，乃至 他们还谋面 临是参加 全部 筹划 的功能或是按期发行的选择 。

　　在文章的开头，先对文章内容举行 三点声明：

　　一 、本文谈及的安全步伐 仅在你的游戏进入应用市场前予以实行 方能见效 。这一点非常紧张 ，下文会详述这个题目 。

　　二、本文不能包管 一劳永逸 ，特别 是鉴于移动平台的快速发展，以及很多 人都盼望 通过复制或在你的游戏中作弊捞取长处 。

　　三、这些办理 方案的重要 目标 并不在于创造不可逾越的停滞 ，而是减和缓 打压黑客的嚣张气势 。以是 突破应用安全体系 的耗时越长 ，你的游戏在黑客面前 的吸引力则更低。

　　以下是防盗窟 、防盗版、防黑客的六大具体 战略

　　1. 存档作弊防止机制

　　比方 ，《愤怒的小鸟》的存档破解工具能读取和改变游戏的进度值 。

　　免费游戏通过内购举行 红利 。内购的道具可以或许 资助 玩家轻松绕开游戏设定的停滞 和在游戏中的表现 更为优秀 。存档破解可以或许 区分储存和这些道具值的存放文件，并对它们举行 修改 ，或让作弊者采取 雷同 的方法获取无穷 金币/现金 。以后就是这些作弊工具的原理：

　　在大部分 游戏中，当玩家实行 某个举措 ，该举措 的记录 以及结果 都会储存在本地 文档（即移动装备 中），并在上传至服务器前举行 打包。由于一次性上传全部 文件会严峻 拦阻 网速和侵害 游戏体验 ，以是 这些文档会举行 分批上传。作弊工具就是在打包上传节点上得到 作弊的机遇 ，并对该等文件依附外部存档修改工具，以获取应用的存档 ，以是 作弊者可以或许 修改游戏的举措 ，包罗 获取游戏的付费道具。（这些存档作弊工具中有一些可以或许 在游戏是否已经被反编译的环境 下仍能起效，以是 创建或利用 第三方办理 方案显得非常紧张 ） 。

　　检测和构造 任何外部存档修改的积极 可以或许 资助 防备 这类作弊方式的发生。假如 开辟 者对本身 的创建存档作弊检测/防止步伐 有信心 ，那么也可以举行 自主开辟 。反之，则在游戏中纳入商用办理 方案 。我的个人发起 是举行 全面的调研和选择一项商用办理 方案。存档作弊程序在不绝 的发展和改善，而商用服务较平凡 游戏开辟 者在这方面更有资源。

　　预计实行 时间：这取决于办理 方案是否通过二进制植入（耗时几分钟）、SDK（耗时数天以致 数周） ，或自主开辟 （数周以致 数月） 。

　　2. 源代码和字符代码肴杂

　　平凡 英文文本情势 的源代码非常轻易 明白 ，但当以字符和数字代替 文本时则否则 。肴杂 式代码可以或许 减慢黑客相识 代码的速率 ，更不消 说利用 你的代码。

　　预计实行 时间：数分钟以致 数小时 ，取决于代码的复杂程度 。比方 ，Second Wave Games工作室喜好 采取 由谷歌提供的免费肴杂 代码/打包代码。通读整个文档以及相干 的栈溢出（StackOverflow）仅需一小时，而实行 这种代码也只需花一小时。

　　3. 二进制级别的代码肴杂 和加密

　　假如 将源代码肴杂 比作为你的寝室 上锁了的保险箱，二进制级代码肴杂 则相称 于锁上你的前面和在你的房子安放防盗门 ，给盗贼设置多一层困难 。由于这对应用本身 的内容并无伤害，因此该方法不会对应用的体验构成任何影响。

　　这种方法可以或许 很好地防止反向工程，由于 反向工程必要 对二进制文件举行 反编译 ，但很不幸，这是平凡 黑客的懂得技能 之一。

　　源代码能被轻易 地复制，从而创造新的游戏。而OniixGames工作室（在波士顿和上海设点）却对此无能为力：“在一款我们近期发布的游戏中 ，我们碰到 了一款在实质上反向变异了我们相助 搭档 产物 的游戏，还在我们相助 搭档 的游戏环球 发布一个月后乐成 登岸 了应用市肆 。代码肴杂 和加密二进制文件则能防止这些环境 的发生。 ”Oniix的Evrett Wallace如是说。

　　预计实行 时间：取决于采取 何种办理 方案 。方案植入大概 会耗时数月（对于必要 与应用的初始开辟 举行 深度融合的办理 方案而言），采取 SDK则需2-3周的时间。新近推出的办理 方案可以或许 将此耗时收缩 至数分钟。比方 近期我帮忙 测试的一份样本文件上传/下载 ，以及整个流程仅需10分钟则可完成 。

　　4. 加密密钥利用 动态密钥而非静态密钥

　　我们发现利用 静态和硬编码密钥的游戏非常多。而且这还不止范围 于小型开辟 者。一些主流发行商的游戏和应用，以及一些着名 的企业也在其游戏中采取 单点登录的方式 。

　　岂论 你是否用于加密在装备 上通讯 或储存的数据，对它们实行 硬编码 ，这就意味着加密无法轻易 地被破译。

　　试想一下：大街上的车都不是一条钥匙即可打开，就如你不应该在全部 网站的账户上只利用 单个暗码 。大概 更紧张 的是，你绝不可以或许 让这个密钥或暗码 可供其他人利用 或复制 。

　　加密密钥是掩护 互联网服务的基石，但必须利用 得当 。在大概 的环境 下 ，利用 动态密钥，假如 你得利用 静态密钥，确保你加密。

　　预计实行 时间：数小时以致 数周 ，取决于你的游戏的开辟 周期，以及必要 处理 惩罚 的密钥的数量 。

　　5. 实行 付出 验证

　　在内购举行 时，应用市肆 便会发放一个付出 验证码 。在游戏服务器追回内购并返还至应用市肆 的服务器予以确认前 ，付费验证码可被重复多次利用 ，偶然 间 还可以或许 在差别 的应用中利用 。

　　由于银行的规定以及名誉 卡在单子 互换 所处理 惩罚 的方式，偶然 间 会即时产生名誉 卡收费。而在其他时间 ，则会在一天或两天后才会完成费用“待处理 惩罚 ”至“处理 惩罚 ”整个流程 。（验证偶然 间 批量处理 惩罚 并每个数小时一次，或一天一次）。比方 ，Uber实行 处理 惩罚 名誉 卡的付出 ，而Lyfy的处理 惩罚 时间却为24小时。这就给利用 卖弄 名誉 卡，以及被盗名誉 卡举行 内购有机可乘 。

　　这种黑客征象 非常广泛。移动分析公司Appsalar陈诉 称，“越狱装备 的舞弊比例高出 50% ”。游戏平台开辟 者SOOMLA近期形貌 了内购舞弊的发生过程，并以此中 一个客户（一家游戏开辟 者公司）为例 ，该公司原来 在首天后应赚取高出 1,000美元，但随后苹果的收入陈诉 表现 ，该公司实际 只赚了1-2美元 。

　　通过在服务器端实行 及时 付出 验证 ，你可以防止对付出 验证码的滥用，并镌汰 利用 无效名誉 卡信息的舞弊环境 。

　　预计实行 时间：最多耗时数小时或数天。一旦你相识 内购体系 的运作模式，实行 及时 付出 验证并不困难 。在植入内购体系 时 ，确保你的服务器收到购买哀求 时及时 实行 服务器端的查抄 。

　　6. 及时 监控应用安全

　　门上锁了就安全了。有门的构筑 更为安全。就更为有效 的动态监测体系 而言，在构筑 被入侵前，向户主发出检测潜伏 威胁的告诫 非常关键 。而应用分析工具的新兴范畴 好像 能让这种体系 成为大概 ，让开辟 者可以跟踪他们的应用，检测潜伏 的黑客征象 ，并追踪他们的频率和始发点。只管 如今 市面上的关于这方面的服务尚较为稀缺 ，但它们仍值得观察 和思量 。

　　服务器端的掩护 应参加 防火墙和服务器安全软件；通讯 应采取 SSL和其他更为安全的方法 。如今 我们应该在应用的客户端上采取 雷同 的逻辑。只管 敏感数据储存于客户端，但黑客仍可通过客户端获取这些数据。回到我们刚刚的类比当中，通过密钥进入的体系 是安全的，但假如 配备指纹辨认 、热量探测和数字锁并配备监控摄像头的体系 则更为安全 。

　　预计实行 时间：市面上有多个办理 方案 ，实行 时间从数分钟至数周不等。及时 监控要求连续 的监控。有鉴于此，我以为 应该在客户服务/游戏端参加 这种服务，由于 其他平台 ，包罗 MMORPG，也采取 了这种跟踪功能 。

　　P.S. 为什么游戏发行后的办理 方案代价更高

　　正如本文开头所说的，这些安全政策只有在应用进入市场火线 能见效 。这点非常紧张 。我再次重申：假如 你实行 对已经进入应用市肆 的应用施加掩护 ，那么恐怕已经是亡羊补牢，为时已晚 。一旦游戏已经发布，这必要 数周的开辟 时间对游戏的代码举行 修改。

　　而在这段时间 ，黑客大概 已经完成了他们必要 做的工作了。盗版游戏乃至 能在原版游戏进入某个地区 前便举行 发布。在中国（Google Play被禁），市面上有数百个安卓的应用市肆 ，开辟 者偶然 间 会发现他们与本身 的多个克隆游戏举行 竞争 。以是 ，要在开辟 周期的初期阶段便开始实行 安全步伐 。

　　我明白 这大概 与手游，特别 是免费游戏的一样平常 开辟 方法背道而驰 。手游是连续 更新和优化的产物 。就此，大部分 的游戏初始发布时都是MVP（可行性最低的产物 ）版本，并在随后的时间举行 迭代。受到开辟 时间的限定 ，开辟 者必要 与时间比赛 ，乃至 他们还谋面 临是参加 全部 筹划 的功能或是按期发行的选择。在这种环境 下，安全通常都不受待见 。

　　不幸的是 ，盗版仍相称 放肆 。手游行业产值数十亿美元，乃至 一款游戏的年收入便能到达 十亿美元，而且手游还在高速发展。思量 到涉及云云 巨大 的经济长处 ，花上几个小时或是几天实行 安全防御步伐 是必须的 。