不再任人欺负！手游安全的进阶之路

本文由  网易云 发布。

Unity 2018开发者大会如期而至。

每年的Unity大会都致力呈现以新锐技术与社区精神为核心的全新Unity生态圈，传播Unity最前沿的技术功能，帮助各类创意人才使用Unity进行高效的内容创作，充分挖掘Unity潜力为各行业带来颠覆性的改变。今年同样如此，在Unity 2018开发者大会，开发者不仅可以看到最新、最炫的游戏，还能学习到很多游戏开发的知识。

如果你参加过Unity在北京、上海、广州等地的开发者大会，你可能已经听说过网易易盾这个品牌了，它是由网易内部积淀了十几年的游戏安全开发经验对外输出的品牌。本文，就由网易移动安全技术专家卓辉为大家全面解读，在网易公司内部是如何通过网易易盾为游戏安全保驾护航的。分享的重点主要包括安全对游戏开发团队的影响、手游安全如何进阶、以及网易易盾使用效果展示三大部分内容。

一、安全对游戏开发团队的影响

游戏作为最吸金的行业之一，往往会引来大量的技术破解和外挂。

为了保护游戏行业、维护游戏的绿色环境，游戏开发团队需要快速反应并且给出最佳的解决方案，包括游戏脚本逆向破解、角色属性参数可随意修改、游戏速度可随意调节、脱机外挂、透视、除草、闪电侠、超人......等等各种状况。而且为了兼顾引擎一致性、用户体验等细节，开发人员还需要做很多修改来应付外挂和破解，很多时候这种修改根本不可能完成。

所以，在竞争如此激烈的手游开发市场，如果开发人员还要疲于应付诸如上述的各种安全问题，那么游戏的开发周期必然会被拉长，开发人员的效率就会大打折扣。所以游戏后面接入了易盾的手游安全解决方案，很大程度上缓解了开发人员的技术压力。

游戏成败的另外一个关键就是需要一个好的游戏运营团队。

游戏安全和运营的关系也非常大：如果外挂太多，玩家就会大量举报，运营就要花更多时间去查证和处理；如果松紧不得当，比如使用大量封号，运营还要应付用户的合理和不合理的投诉，这又导致了运营效率降低，运营人员成本增加；如果有工作室在吸游戏的“血”，运营人员还要花更多的成本来打击......所以虽然运营人员也在努力地维系游戏环境，但有心无力的情况下还是会导致游戏公平环境遭到破坏，玩家流失，从而使付费意愿越来越低。

而对于产品负责人来说，产品的口碑会下降，游戏收入也会越来越低，负责人又要花额外的时间和金钱成本去招聘安全人员，往往还没招到或者安全人员还没做出成绩，游戏已经损失了大量的金钱。

据网易统计，如果一个月流水超过1000万的手游，1年下来，因安全问题导致的产品口碑、玩家流失、付费用户变少、招聘安全人员等各种损失成本，会高达500万。

说了这么多，那么手游的破解热度究竟有多高？通过以下几组图片应该会有直观感受。

通过搜索“手游 破解”的关键词，相关结果高达1250万条；各种游戏修改器、玩家辅助工具、模拟器也是层出不穷；无限金币、无限钻石、自住跑、自动瞄准、自动任务等破解APK更是广受玩家追捧......可以发现，手游的安全问题相当严重。

二、手游安全如何进阶

接下来从手游全生命周期解决方案来介绍，网易易盾是如何助力手游安全、帮助开发团队提高手游安全能力的。

游戏的安全问题可以对应到不同的研发阶段，针对于此，易盾提供了手游全生命周期解决方案。在游戏的开发阶段，通过网易易盾的安全组件，能够解决数据安全传输、数据存储等安全问题，也可以接入易盾的反外挂SDK，用于检测和发现游戏当中的安全风险；在游戏的测试阶段，易盾可以提供APP和服务端的渗透测试，帮助游戏提前发现安全问题；在产品发布阶段，使用易盾的加固保护，可以大大提高游戏的安全等级。

首先是渗透测试。以手游APP渗透测试为例，易盾会从静态和动态，以及网络协议、本地文件、脚本安全性评估、广告安全性评估、其他安全漏洞等各个维度对游戏进行安全风险分析，并给出每项的测试结果。如下图所示，即为某个游戏的安全检测结果样例。

在给出手游全生命周期解决方案前，网易易盾还会为游戏应用厂商提供面对面的安全问诊活动，全面帮助手游开发团队了解自己游戏的安全问题和安全威胁。考虑游戏的私密性，易盾会签署保密协议，不会对除开发团队以外的任何人透露相关细节。此外，还提供对方免费试用易盾手游保护产品的福利，并和开发团队沟通，给出相关建议。

在易盾的手游全生命周期解决方案中，最为核心的就是手游加固系统。

在手游加固系统中，易盾对游戏Dex、脚本文件、资源文件和SO文件提供了从上到下的保护。此外还专门针对引擎脚本做了大量的研究工作，提供了行业领先的保护方案，目前支持的主流引擎保护包括U3D、Cococs、NeoX、UE4等。

整套手游保护的核心就是虚线框里的功能。除了静态保护，易盾还提供了动态主动保护，比如反修改、反加速、反模拟器、反调试、反模拟点击、文件动态校验等功能都是手游急需的功能，通过静态和动态多维度的保护，手游的安全等级得到了极大的提高。

加固系统的特点，一个就是前面提到的动态功能多样化；另外一个是，易盾在业内率先推出了Unity3D引擎的函数级加密方案，极大地提高了U3D引擎的保护强度；此外还支持游戏热更新、支持自定义引擎保护、对游戏的静态资源和存档数据也能提供强大的保护功能。

此外，易盾加固也提供了游戏风险感知功能。除了外挂监测，还加入智能识别游戏破解版本、游戏外挂可疑识别等功能，能帮助运营实时查询指定帐号的可疑和外挂使用情况。

以反外挂系统为例，下图就是数据的统计趋势图。

易盾反外挂系统能够提供指定帐号ID的多维度查询系统，帮助运维人员快速发现指定角色的外挂行为。反外挂工作通过终端检测、收集数据、云端风险感知、游戏服务器、终端这一完整流程，联动终端、云端和游戏服务端三端，有效解决了游戏的安全问题。

易盾为手游提供了完整的防御护城河。首先通过游戏安全渗透测试，帮助手游提前发现安全问题，减少安全风险；再通过加固保护，大大提高游戏代码的安全性，以及抗击外挂的能力；然后结合手游风险感知功能，帮助游戏运营实时定位有问题的帐号——从而为手游安全形成一个有效的闭环，产品不再需要做额外的安全工作，全部的安全问题交给专业的易盾来做。

另外考虑到各游戏团队的个性需求，这几大功能全部支持分开接入，也就可以只选择其一，比如用户可以只选择加固保护或者只选择风险感知功能。

三、易盾手游安全解决方案效果展示

接下来，通过几个例子展示易盾手游安全解决方案的实践效果。

1.Unity引擎脚本加密和资源加密的效果

加密前，破解者可以通过相应工具来分析脚本代码和游戏资源文件。但是经过易盾加固保护后，无法再通过工具进行分析，游戏的核心资产得到了有效保护。

2.动态保护效果

上图以动态保护中的反加速为例。利用变速器，破解者可以轻松修改游戏的运行速度。但是经过加固保护后，变速器的功能无法再发挥作用，游戏的速度也就不受变速器控制了。

这是游戏反修改器功能，加固后的游戏一旦监测到有外部篡改，保护功能会直接退出游戏。

这是反模拟点击功能，一旦监测到有使用模拟点击外挂，游戏会直接退出。

3.易盾加固前后产品的性能对比

通过对比，可以发现无论是启动时间、还是CPU、内存占用和文件体积，对游戏的影响都是微乎其微，像FPS等，易盾可以做到对游戏完全没有影响。

4.易盾产品优势

易盾加固，是网易积累十几年的游戏安全经验的对外输出，安全性高、稳定性强，不管在保护强度、产品知名度、产品性能方面都处于领先地位。另外，易盾深知游戏安全是一个不断对抗、不断提升的过程，所以也在不断提升产品的竞争力。

目前，易盾加固除了服务于网易大部分游戏产品，也服务了上百家外部游戏厂商，这些游戏安全稳定的运行在全世界80多个国家和地区，易盾一直守护着这些游戏的安全。

网易云易盾提供相关安全加固服务，如SDK加固、DDoS 高防等，欢迎点击免费试用。

了解 网易云 ：
网易云官网：https://www.163yun.com/
新用户大礼包：https://www.163yun.com/gift
网易云社区：https://sq.163yun.com/