我猜今天这篇访问量会比较多。
其实一般情况下不太爱写这种文章,简单说就一点,这个行业的人我惹不起。
1、外挂
所谓外挂,是指通过技术手段,提供辅助游戏的工具,方便玩家获得一些额外的能力;
这事我特意咨询过律师,外挂分两种,一种是不对游戏系统进行操作和修改的,这种一般认为是合法的(典型的是执行自动的鼠标点击和固定的鼠标键盘操作,实现类似自动挂机的功能);另一种是要对游戏的程序进行操作和修改的(典型的是修改内存特定地址的数据,或者对游戏交互的数据做拦截和修改,从而获得额外的能力),被认为是非法的。
典型外挂如一些按键精灵(合法的),自动挂机,自动打怪,以及一些诸如隐藏地图的展开等等,很多年前我第一份工作的时候,当时公司里流行局域网打四国军旗,然后有人就监听破解了数据流,就能显示所有人的棋子,于是所向披靡,这也是一种外挂。
前段时间有个挺有名的外挂拿了投资,当时可以对几乎所有腾讯热门游戏进行作弊,然后在即将被腾讯摁死的前夕努力洗白,不知道后续发展如何了。以前经典的外挂还包括类似魔兽小助手之类的。
一款热门游戏,一旦出现规模化外挂,游戏平衡往往被打破,然后有一些曾经很有机会的好游戏死于这样的外挂。所以对于开发者来说,防外挂是一件特别需要注意的事情。
前段时间国外一款知名游戏也曾经出现一批中国重度付费玩家被认定使用外挂而被删号的事件,在这个圈子里也非常有名,一旦外挂出现,很多开发商,运营商就会风声鹤唳,草木皆兵;而且对正常玩家的行为也会出现误判。甚至造成深度付费玩家流失的严重后果。
对于非技术人员,如何理解外挂呢?
有些行为,如果是一些固定的操作顺序和操作流程,不需要破解游戏的任何信息,只要固定鼠标的操作步骤和点击即可模拟人的行为,实现自动挂机,自动打怪,类似按键精灵。
有些行为,当游戏服务端和客户端发生数据交互,那么理论上客户端的程序可以截获和侦听这部分内容,以及游戏在内存中的数据改变信息,并进行修改,从而改变游戏中用户的属性或者其他属性,从而实现作弊的效果,这就是所谓非法的外挂的技术原理。
有时候,反外挂往往意味着提高用户的交互成本,比如说,突然正常操作中出现验证码,或者一个验证的操作选项,用户需要自证不是机器人。(验证码也有很多破解方式,参见 验证码是个什么鬼)
另外,很多外挂程序需要玩家输入帐号和密码,实现自动挂机等功能,但这时候,帐号和密码是没有保证的,很可能被外挂作者截获,盗号(另一个黑产大市场)转卖。 据悉,有一个挺成功的创业公司老板,最早就是做外挂盗号捞了第一桶金,当然,这个据说我没有校验,也不敢乱指认。
外挂有风险,帐号需谨慎。
2、私服
最早的私服是传奇私服。
最早的故事是这样的,盛大代理传奇大捞了一笔非常开森,然而这款游戏在全球,除了中国之外的运营并不是很理想,但毕竟有很多地区有代理商。
大约是欧洲的某个代理商,出现了安全事故,也就是所有源代码泄露。
这个代码辗转就被中国人获得了,中国最不缺的是什么,程序员。
于是他们就拿着源代码,改吧改吧就发行了非官方的传奇版本,并且降低了难度和升级的需求,提高了道具的掉率;于是很多在传奇中挣扎郁闷的玩家就转战私服,获得快感。 可怕的是,很多私服的系统改的特别好,比官服还有创新!
私服,就是非官方授权的,私自搭建的游戏服务器。代码来源往往是因为官方源代码泄露。部分也存在逆向工程,因为有些游戏服务端逻辑不复杂,客户端反汇编修改一下服务端指向,然后根据游戏逻辑重写服务端,对一些游戏开发公司来说,并非难事(比如heros of charge就是这么干的)。
那么这事肯定是非法的。
但中国就是有中国特色,很多非法的,但是执法就有难度。
东北有个私服出身的公司,摇身一遍成为当地明星公司,曾经两个中央常委视察过,你说牛逼不牛逼。
后来盛大也与时俱进了,能告死的告死,告不死的就合作吧,分点钱得了。所以中国有些私服真就合法化了,比如上述那个例子。
私服行业互相攻击的特别多,比如传奇私服可能有上百家,就互相打,DDOS,把对手打死让用户都到自己平台来。这样也催生了另一个产业,所谓的DDOS攻击小组。中国几次严重的ddos断网事件都是因为私服互殴导致的。
曾经有一些非常出色的游戏,刚上市没多久就出现了源代码泄露,然后私服泛滥,因为私服门槛更低,用户冲关更容易,道具更便宜,官服就做不下去了,而私服因为通关周期短,玩家生命周期也短,所以热度维持没多久就销声匿迹了。 私服也毁了不少热门游戏。
所以游戏开发公司的安全诉求还真是很高的。
中国私服行业的年产值没有出现在任何行业报告里,保守估计,百亿人民币的规模吧。
3、盗号
盗取游戏帐号,转卖洗劫游戏装备,已经流水线化,自动化。
最大的受害者,腾讯,盛大,网易,巨人。
每年抓好多人,因为丑事不出门,一般不公开报,但每年真的抓好多人,还是有很多人不断去试。
有一段时间,疯狂到什么地步,很多很多个人网站接的广告都是盗号广告,就是你上一个网站,右下角一个看上去是QQ的窗口,一个美女跟你聊天,你想看她信息或照片,要求你输入QQ帐号和密码,嗯,就这么简单的一个东西,曾经很多特别有名的网站都挂过这样的广告,每天都是几万几十万的号码被盗,被洗劫。
盗号产业化,除了洗劫游戏装备,还有骗好友汇款,这就不提了。
盗号除了这种手段,还有外挂盗号,此外还有撞库攻击,不解释了,旧文有提
信息安全常识科普
4、黑卡
这里说的,不是黑金卡,是黑卡。
信用卡付费,是没有密码保护的,有些人说不对啊,我信用卡付费有密码啊,很抱歉,那是心理安慰,如果我拿到你信用卡信息,根本不需要密码就可以在网上消费。
appstore是绑定信用卡的,google play也是,互联网黑市里,有很多信用卡信息,比如黑了某个成人网站,或者商旅网站,就可以拿到大量信用卡信息,在SQL注入还没有被引起重视的年代,这事不要太轻松。如果你拿到了别人的信用卡信息,就可以在appstore上轻松用别人的信用卡消费。这就是所谓黑卡。
当信用卡拥有者发现账单不是自己消费的时候,就会向银行申诉拒绝支付这笔费用,银行就会跟消费商,比如苹果市场结算的时候,告知对方这个付款无效。这样消费者保证了利益,而这个收入就会被退回。
很多淘宝代充走的就是黑卡,也就是开发者看到自己的收入进来了,但是到月底发现,这个收入被退回了,就知道遭遇了黑卡。
在中国有一段时间,黑卡特别猖獗,使用黑卡通过淘宝代充的规模非常大,大到什么程度呢?部分游戏的黑卡充值比例甚至高过50%,这让很多游戏开发商欲哭无泪。 即便到现在,很多游戏的黑卡充值比例也有20%左右。
而这里更黑的真相是,有些开发商,为了提升畅销榜排名,为了给投资人看业绩更好看,甚至自己用黑卡做自充值。这种案例也出现过不少。
现在大家问收入,看畅销榜,业内人都会问一句,你这里充值退款率多少。
提示:使用和转售黑卡信息,均为违法犯罪行为。
提示:任何情况下,不要公开展示你信用卡的信息,不要将信用卡的照片贴在网上,QQ群,朋友圈,我真遇到过这样无脑的,不知道怎么输入信用卡信息 ,把信用卡信息贴到群里问别人,让他赶紧去把卡销了还不信,以为我们在耍他。 强调一句!!信用卡的密码根本没球用!!!
5、DDOS
私服之间斗的比较大,就是流量攻击,让你的网站和服务打不开,从而让用户进入他的平台。
除了私服之外,同行也经常有恶性竞争,我就遇到过一起,同类型游戏,一个开发商自认为遭到了另一个开发商的攻击,先不说是不是真的,他也不报警,也不求证,就攻击对方,结果发行商报警了,开始还不知道谁攻击的,到最后查出来一看,挺可惜的,还都是名校明星创业者,为这事全背了案底,这事真不值得。
很多第三方DDOS小组,就以此谋生,攻击对方收保护费,有些团队核心人员全在境外,你抓都抓不到。不仅仅是游戏,互联网金融行业这么火,很多知名不知名的公司都为这事交了保护费。基本上就是谁有钱就攻击谁。
我以前说过,做互联网创业,没被ddos过的都不好意思说自己是做这行的。
6、劫持
这事不能细说了,某些掌握关键路由资源的人或团队,干黑吃黑的事情。
你不是私服么,我直接把你流量劫持过来,你自己屁股不干净你敢告我?有本事咬我啊。
中国特色的互联网劫持,真心不敢写,否则这个号都保不住。
7、挂马
和游戏关系不大,也可以认为是盗号的一种方式。
简单说就是黑了一些网站,在上面挂木马。如果厉害点的话,比如黑掉一个网站统计系统,或者黑掉一个广告联盟平台,就可以在成千上网个网站上挂马。
很多色情网站就是靠挂马为生,你来看片,好啊,下个播放器吧,然后,就挂马了,你游戏帐号就被盗了。