针对DMA外挂,新打击手段上线!
2024-11-15 22:20:03 字体:【大 中 小】
大家好,我是刀锋,CF安全课堂又上新了,CFer们一起来看看我们又带来了什么好东西吧!
预启动表现良好,量级持续扩大中
为提升CFer们的游戏体验和公平竞技环境,在9月CF为预防作弊行为上线了反作弊预启动模式,该模式与现有的ACE反作弊系统配合提升了反作弊系统的前置对抗作弊行为能力。
在不影响游戏体验的前提下,不仅提升了游戏的公平性,还能有效规避“被小黑屋”情况。截至目前“小黑屋”处罚量下降25%以上,外挂举报量下降40%以上。
在一段时间的运行后,目前已超过119万CFer安装运行了反作弊预启动模式,单日运行用户达54万,系统累计有效拦截超6万次恶意攻击,单日拦截次数最高超过6K。此外,部分热心的CFer还主动参与了巡查团,配合安全团队大力狙击作弊用户。安全措施加强了检测力度再搭配上预启动模式的发力,成功减少了游戏中的违规行为,从而导致多人举报量的下降。
DMA作弊科普与CF打击史
尽管反作弊预启动模式一定程度上创造了更好的游戏环境,但其对抗的能力有限,尤其是无法对抗“DMA作弊”。在这里,刀锋也给大家简单讲解一下DMA外挂的原理和它在CF中的进化史:
所谓DMA作弊,即利用DMA(Direct Memory Aceess直接内存访问)硬件进行作弊,他的特点是作弊者会有两台机器,A机器(游戏机器)的内存数据被直接在硬件层读取至B机器(作弊机器),随后在B机器上作弊的数据再投影到A机器上,搭配上Kmbox(可以理解为赋予自瞄与扳机功能)使得所有作弊行为都在A机器外部,让作弊者难以被检测。由于DMA硬件属于合法的科研硬件,所以无法直接在售卖层面上直接进行一刀切的打击。
2023年4月以前,DMA还没有伪装功能,此时我们只需要检测机器中是否有DMA类硬件即可知道其是否有作弊嫌疑。
直到2024年4月以前,DMA的伪装都不能做到固件与正常设备保持一致。但是伴随网络上固件伪装的代码开源,DMA实现了固件伪装与对应设备的一致性。不过,因为方法相对统一,我们在收集足够的特征后,还是可以把这群相同伪装的DMA作弊者一网打尽。
然而在2024年8月,作弊固件的伪装技术再次升级,DMA固件采取了1人1固件的伪装方法,但此时相关技术集中在模拟网卡,因此我们特别的针对网卡进行了更深入的定制检测。
如今,我们已经累计禁用了4.5万个设备固件,因DMA作弊被封禁的数量(账号及机器)高达1.1万个。
但DMA伪装还在升级,目前不仅1人1固件,伪装的设备也在不断扩大种类,如打印机、声卡、显卡、磁盘、USB集线器等,导致打击困难。不过我们还是有信心能够持续做好DMA的检测和打击。
外挂打击能力扩展,内核DMA保护已上线
近期,除了我们原有的AI自动识别、固件禁用等常规打击DMA作弊的手段,我们还新增了内核DMA保护功能——其核心就是针对DMA类作弊。
所谓的内核DMA保护,本质是windows操作系统针对DMA硬件读取系统内存做的一个保护机制。但是作弊玩家为了使用DMA作弊,就会主动将windows操作系统的保护机制进行关闭。 因此当我们发现账号登录的硬件设备可疑时,会要求开启了对应的系统保护机制,才能继续游戏。
不仅如此,在未来,我们还会上线千人千面内存加密、安全SDK升级等措施,进一步严厉打击DMA作弊!
打击外挂的马拉松需要大家共同参与
就像刚刚所说,针对DMA类作弊未来我们还会推出更多反制措施来提升对抗的有效性。但回头来看作弊与反作弊的竞争就像龟兔赛跑一样,比的是谁更能在这场旷日持久的战争中坚持下去,穿越火线安全运营团队将矢志不渝与各位正义玩家们站在一起,也希望各位CFer在游戏中遇到作弊行为时能积极举报,让我们共同打造一个干净的游戏环境吧!