ICS35.240.99 L 66 中华人民共和国国家标准 GB/T 32413—2015 网络游戏外挂防治 Online game cheating program prevention and control 2015-12-31发布 2016-07-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 32413—2015 目 次 前言 1范围 2术语和定义 3外挂分类 外挂防治 4 GB/T 32413—2015 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。 本标准起草单位：中国电子技术标准化研究院、上海盛大游戏公司、中国信息产业商会网络游戏产 业分会。 本标准主要起草人：赵菁华、陈胜喜、杜江杰、樊星、张展新 I GB/T 32413—2015 网络游戏外挂防治 1范围 本标准规定了网络游戏中外挂的分类和防治。 本标准适用于公开测试及运营的网络游戏。 2术语和定义 下列术语和定义适用于本文件。 2.1 cheatingprogram 外挂 利用信息技术针对一个或多个网络游戏，实现自动进行游戏的作弊程序 2.2 加壳 packer 对可执行程序、动态链接库文件里的资源进行加密。 2.3 virtual machine environment 虚拟机环境 通过虚拟化软件在宿主机上建立的模拟环境 2.4 多开检测 J logins detection 检测同一游戏用户账户是否通过多个游戏客户端同时登录。 3外挂分类 游戏外挂可分为如下6类： a）键盘模拟类外挂 通过调用应用编程接口来模拟键盘鼠标操作，并通过解释分析屏幕颜色变化来获取目前的游戏状 态，从而实现一些相对简单的自动挂机功能。 b）系统加速类外挂 通过调用系统应用编程接口改变时钟系统，从而加快游戏运行速度的辅助工具。 c）内存及游戏封包协议修改类外挂 通过第三方工具，实现跨进程修改游戏内存，或者修改游戏封包协议的辅助工具。 d）游戏挂机类外挂 为具体游戏定制，通过注入模块到游戏中，实现比较复杂的挂机功能甚至一些恶意功能的程序。 e）脱机类外挂 脱离游戏客户端，完全模拟游戏客户端发包，从而实现大批量的自动挂机的程序。 f）其他外挂 利用游戏本地化运算过多或者一些游戏漏洞，恶意刷游戏币、刷等级、恶意对抗的程序。 1 GB/T32413—2015 4外挂防治 4.1钅 键盘模拟类外挂防治措施 键盘模拟类外挂可通过以下监控方法进行防治： a)1 监控操作系统用户消息相关函数，防止模拟键盘鼠标操作； b）监控操作系统屏幕像素读取函数，防止解释分析屏幕颜色变化， 4.2系统加速类外挂防治措施 系统加速类外挂参照如下方法检查并进行防治： 监控操作系统时间相关函数的调用，防止时间系统被修改； a)1 b) 监控操作系统时钟相关函数的调用，防止时钟系统不一致； c) 通过和服务端进行时钟同步，防止客户端加密。 4.3 内存及游戏封包协议修改类外挂防治措施 内存及游戏封包协议修改类外挂可通过以下监控方法进行防治： a） 监控操作系统进程相关函数，防正游戏进程被第三方工具打开； b) 监控操作系统进程对内存读写的相关函数，防止游戏内存被其他进程修改； c) 监控操作系统附加进程相关函数、清空调试端口等方式，防正游戏被调试； （P 隐藏进程及进程信息，防正游戏进程被第三方工具找到； 对游戏进程内的代码段进行运行时校验，防止关键代码被恶意修改； 关键数据（如生命值、人物属性）应加密，防止被搜索。 4.4 游戏挂机类外挂防治措施 游戏挂机类外挂可通过以下监控方法进行防治： a) 定期搜集游戏加载的模块，分析是否有其他可疑模块出现； b) 游戏内置动态特征扫描，通过收集外挂信息进行逆向分析并部署新的特征码； 使用主动防御系统，防止其他模块注入游戏进程； d) 怪物、技能等数据结构复杂化设计（如多级链表方式、多叉树方式等）； e） 游戏代码关键部分应加密，防正被分析和调用 4.5 脱机类外挂防治措施 脱机类外挂可通过以下监控方法进行防治： a）对游戏封包进行动态加密，防止简单模拟； b) 游戏协议结构化，每次发布版本时调整协议结构大小和顺序； c) 游戏资源加密，防止逆向分析出地图、装备、物品、技能等资源信息 4.6 6其他外挂防治措施 其他外挂可通过以下监控方法进行防治： a）重要逻辑宜放到服务端运算，减少客户端运算； b) 游戏上线前应进行安全测试，减少游戏缺陷； c) 建立事件响应组，对游戏缺陷被利用实现快速响应。 2