针对DMA外挂,新打击手段上线!
针对DMA外挂,新打击手段上线!
穿越火线(CF)官方安全团队近日宣布,针对DMA外挂的新型打击手段已正式上线。这一举措是CF在持续优化游戏环境、保障玩家公平竞技体验方面的重要进展。
预启动模式成效显著
为提升CF玩家的游戏体验和公平竞技环境,CF在9月上线了反作弊预启动模式,该模式与现有的ACE反作弊系统配合,提升了反作弊系统的前置对抗作弊行为能力。
在不影响游戏体验的前提下,不仅提升了游戏的公平性,还能有效规避“被小黑屋”情况。截至目前,“小黑屋”处罚量下降25%以上,外挂举报量下降40%以上。
在一段时间的运行后,目前已有超过119万CF玩家安装运行了反作弊预启动模式,单日运行用户达54万,系统累计有效拦截超6万次恶意攻击,单日拦截次数最高超过6K。此外,部分热心的CF玩家还主动参与了巡查团,配合安全团队大力狙击作弊用户。安全措施加强了检测力度再搭配上预启动模式的发力,成功减少了游戏中的违规行为,从而导致多人举报量的下降。
DMA作弊原理与CF打击历程
尽管反作弊预启动模式一定程度上创造了更好的游戏环境,但其对抗的能力有限,尤其是无法对抗“DMA作弊”。在这里,让我们简单讲解一下DMA外挂的原理和它在CF中的进化史:
所谓DMA作弊,即利用DMA(Direct Memory Aceess直接内存访问)硬件进行作弊,他的特点是作弊者会有两台机器,A机器(游戏机器)的内存数据被直接在硬件层读取至B机器(作弊机器),随后在B机器上作弊的数据再投影到A机器上,搭配上Kmbox(可以理解为赋予自瞄与扳机功能)使得所有作弊行为都在A机器外部,让作弊者难以被检测。由于DMA硬件属于合法的科研硬件,所以无法直接在售卖层面上直接进行一刀切的打击。
2023年4月以前,DMA还没有伪装功能,此时我们只需要检测机器中是否有DMA类硬件即可知道其是否有作弊嫌疑。
直到2024年4月以前,DMA的伪装都不能做到固件与正常设备保持一致。但是伴随网络上固件伪装的代码开源,DMA实现了固件伪装与对应设备的一致性。不过,因为方法相对统一,我们在收集足够的特征后,还是可以把这群相同伪装的DMA作弊者一网打尽。
然而在2024年8月,作弊固件的伪装技术再次升级,DMA固件采取了1人1固件的伪装方法,但此时相关技术集中在模拟网卡,因此我们特别的针对网卡进行了更深入的定制检测。
如今,我们已经累计禁用了4.5万个设备固件,因DMA作弊被封禁的数量(账号及机器)高达1.1万个。
但DMA伪装还在升级,目前不仅1人1固件,伪装的设备也在不断扩大种类,如打印机、声卡、显卡、磁盘、USB集线器等,导致打击困难。不过我们还是有信心能够持续做好DMA的检测和打击。
外挂打击能力扩展,内核DMA保护已上线
近期,除了我们原有的AI自动识别、固件禁用等常规打击DMA作弊的手段,我们还新增了内核DMA保护功能——其核心就是针对DMA类作弊。
所谓的内核DMA保护,本质是windows操作系统针对DMA硬件读取系统内存做的一个保护机制。但是作弊玩家为了使用DMA作弊,就会主动将windows操作系统的保护机制进行关闭。 因此当我们发现账号登录的硬件设备可疑时,会要求开启了对应的系统保护机制,才能继续游戏。
不仅如此,在未来,我们还会上线千人千面内存加密、安全SDK升级等措施,进一步严厉打击DMA作弊!
打击外挂的马拉松需要大家共同参与
就像刚刚所说,针对DMA类作弊未来我们还会推出更多反制措施来提升对抗的有效性。但回头来看作弊与反作弊的竞争就像龟兔赛跑一样,比的是谁更能在这场旷日持久的战争中坚持下去,穿越火线安全运营团队将矢志不渝与各位正义玩家们站在一起,也希望各位CFer在游戏中遇到作弊行为时能积极举报,让我们共同打造一个干净的游戏环境吧!
本文原文来自腾讯游戏穿越火线官方安全课堂