近日,腾讯MTP联通游戏安全分享沙龙在上海举办。 腾讯游戏安全中心高级专家王悦、腾讯互娱手游安全技术负责人、手游安全产品负责人李长江、运营管理组总监王家印、手游安全运营分析团队总监韩猛将分析常见的移动游戏安全风险,分享最先进的安全对策技术和运营经验,帮助开发者和运营商更好地维护游戏安全。 以下是分享会的精彩问答。 快来了解更多吧!
问:我们知道插件是利用漏洞实现的。 漏洞可能出现在客户端、游戏逻辑、服务器端。 腾讯重点分析这三个层面的哪一部分?
腾讯MTP:腾讯游戏有从立项到上线的开发管理体系。 在游戏上线前或者新版本发布前,我们有专门的分析团队根据不同游戏类型进行安全审查,评估潜在风险。 据悉,他们还会从攻击者的角度挖掘漏洞。 传统的漏洞挖掘现在基本上都是手动实现的,而且游戏也比较独特。 每个游戏都是不同的,需要投入大量的人力。 我们将挖掘客户端漏洞和合约漏洞。 ,我们已经基本覆盖了私有合约部分,但是比如游戏中如果有网站或者活动页面,就可能存在漏洞。 这属于外部安全的范畴。 这部分是腾讯另一个团队的责任,不仅是外部安全之外的一切都是我们的责任。
当游戏真正上线时,它已经达到了现实的安全水平。 在这个过程中,我们团队也会尽力去发现哪些点可以用来实现插件功能。 然而游戏,尤其是安全性较差的游戏,可以说实现外挂的方法是无限的。 通过提前挖掘漏洞来完全避免插件是不现实的。 因此,不仅是客户端漏洞的挖掘,服务器端更注重监控、分析样本、分析数据。 上分析。 为了尽早发现问题,关键是建立既定的数据监控能力,以便在作弊行为发生时能够及时发现。
问:什么代码通常被注入的频率更高?
腾讯MTP:注入客户端代码的方式太多了,无论是各种脚本语言还是其他语言,最终都会以机器代码的形式执行。 所以即使游戏是用C#或者其他语言编写的,而其他人实际上对引擎做了改变,比如透视函数,也根本不需要改变游戏规则。 他们可能只改变引擎的渲染部分,甚至只是改变OpenGL的实现。 实现某种观点的方法可能有一百种。 很多时候我们会根据样本的实际实现方式来做一些多样化的措施。 不可能衡量所有的一百种方式,性能成本游戏也是不可接受的。 据悉,我们的解决方案具有动态功能。 一旦一种作弊模式流行起来,我们就可以意识到它并对其进行打击,而无需升级或进行重大改变。
Q:像《CF》、《吃鸡》这样的FPS游戏,逻辑主要在客户端。 开发过程中是否有办法提高游戏安全性?
腾讯MTP:腾讯游戏有安全审核流程。 在审核的过程中,我们会给游戏开发方提出很多建议。 例如,哪些数据非常敏感? 尽管他们无法进行实时校准,但我们要求他们提交大量数据到服务器进行审核。 。 其实我们的安全也有动态获取数据的能力,但是这个比开发过程中的成本要高很多。 我们会让开发方一开始就注意很多问题,防范一些风险。 但游戏并不能保证绝对的风险防范,所以我们在游戏上线后还是需要做一些相应的安全防护。
Q:对于金农工作室大量使用外挂的问题,你们是如何处理的?
腾讯MTP:从作弊者的角度严厉打击是一种方法,但直接打击作弊者是困难的,也不是最好的策略,不仅仅是从作弊者的角度,虽然工作室的对抗更多是通过数据分析。
首先,工作室作弊和个人玩家作弊最大的区别是什么? 这是工作室的集体性质。 如何发现集体性? 虽然使用IP和IP段可能是最简单的,但手游可能会使用一些设备信息等。此外,依托腾讯的社交网络,我们还可以从关系链的角度发现哪些人属于工作室。
其次,无论工作室是否使用外挂,它总是需要盈利的。 如果盈利后想卖出去,就需要交易。 在交易链的地方,你可以通过收集想法来发现工作室。