注册
登录
安全协议
如何防止游戏客户端版本欺骗?
返回
如何防止游戏客户端版本欺骗?
作者:
明天会更好
发布时间:
2025-01-01 02:36:11 (2月前)
转自:
<div class =“excerpt”> 基本上我有一个c ++服务器,它将使用二进制协议与我的客户端交谈(统一游戏)。作为登录过程的一部分,我想将客户端版本发送到服务器。服务器然后响应... </DIV>
收藏
举报
2 条回复
0#
回复此人
谦成
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我会尝试这样的事情: </p> <P> 通过客户端版本,我传递一个哈希密码只是为了更安全(他们可能不会那么容易欺骗)。 </p> <P> Eamples: </p> <P> 客户端版本1.00 <BR/> 密码“这是版本1.00”= 4fd6b272e62e04dac52cab22e0643811 <BR/> 所以你会收到1.004fd6b272e62e04dac52cab22e0643811 </p> <P> 客户端版本1.1a <BR/> 密码“这是版本1.1a”= a475834cb992bcb649c819ba83267b23 <BR/> 所以你会收到1.1aa475834cb992bcb649c819ba83267b23 </p> <P> 事实是,你不能阻止一个专注的人。任何钥匙孔都可以打开。你所能做的就是让它变得更复杂,因此它需要足够的时间(或努力)才能放弃,或被权威机构检测到。 </p> <P> 我发布的示例有点难以欺骗,因为: <BR/> a)他们需要猜测你使用的是MD5而不是SHA1。 <BR/> b)他们需要弄清楚你只是连接 <code> <version code> </code> 和 <code> <version string> </code> <BR/> c)能够将它一直连接起来以便弄明白。如果你是通过SSL发送的,那么wireharking会消耗掉它们,他们只需要使用其他形式的魔法来读取登录阶段发送的内容。 </p> <P> 所以是的,请使用SSL。 </p> <P> 调试器更新: </p> <P> 调试器?不,因为您在服务器上有预期的密码短语检查,并且在不匹配的情况下 - 您放弃了他们的连接。 我希望你的客户端有一个调试器检查,并且 的<strong> 不 </强> 如果存在调试器则运行;保存它只是为了你自己的调试版本;这是我们正在讨论的版本构建。 </p> <P> 但无论如何,要调试(并捅这样的值),他们需要做一些事情: <BR/> 1)调试符号, <BR/> 2)反汇编二进制 </p> <P> 我希望你不要给它们一个非剥离的可执行文件,所有调试符号仍然附加。因为否则你可能只是将源代码交给他们。 </p> <P> 我们谈论的是C ++,在制作之前是混淆的,在制作之后是剥离的。这应该花费他们一段时间来获得反汇编程序的任何有意义的东西,如果代码仍然构建,调试器将无法帮助他们运行剥离的,混淆的反汇编代码。 </p> <P> 但这超出了问题的范围,使用哈希硬编码密码连接版本就是如何在服务器上找出他们的版本。不匹配意味着他们正在尝试做一些时髦的事情,所以你可以放弃它们。 </p> <P> 无效versionString的示例: </p> <P> 收到1.1a4fd6b272e62e04dac52cab22e0643811,这是: <BR/> <code> 1.1a </code> + hash(“这是版本1.00”)= 4fd6b272e62e04dac52cab22e0643811 </p> <P> 并不难实现(前4个字母是你的versionCode,其余的是盐),如果盐是好的,请检查该盐的预期versionCode。此外,通过检查可执行文件的校验和,确保没有完成文件篡改。并且你应该是安全的,没有新手饼干/黑客试图拉你的东西。但是,如果他真的有决心,给他几个月,他会打败它:)或购买完整的游戏,如果浪费几个星期,这不会改变他的想法。 </p> </DIV>
编辑
登录
后才能参与评论
