游戏如何检测恶意Hook

所谓Hook，是一种允许开发人员在特定事件发生时插入自定义代码的技术。该技术通常用于修改或扩展现有的软件行为，并且无需修改源码。常用于拦截函数调用、修改数据或执行其他自定义模块等操作。

由于Hook技术的特性，导致其被游戏黑灰产利用。通过Hook和注入技术，作弊者会将恶意代码注入进游戏进程，增加作弊的隐蔽性，提升恶意代码分析难度，相较于传统的通用作弊方式，Hook技术的检测难度更大。

据观察，恶意Hook的实现方式有以下三种，分别为：Hook代码、Hook系统函数及Hook安全模块。本文我们将通过案例来分析其实现原理并提出解决方案。

Hook代码

Hook代码是恶意Hook的常见手段，我们以Unity引擎IL2CPP框架游戏为例进行分析。

首先，外挂作者会将游戏包体解压，找到 global-metadata.dat 与 libil2cpp.so 文件，利用 Il2CppDumper 将其解析，利用生成的 dump.cs 文件，可以逆向分析出游戏内符号表和地址，如：金币、血量、攻击力等关键信息。最后 Hook 相应函数、改写参数或者通过调用逻辑，从而实现多种外挂功能。

frida框架Hook操作流程

相较于传统的通用作弊方式，Hook代码制作外挂会更加隐蔽，并且外挂作者还会利用其他手段来隐藏特征，提高外挂的排查难度。

Hook系统函数

Hook系统函数常用于制作变速外挂，外挂作者会采用Cheat Engine修改器，其变速原理为Hook以下三个有关时间的函数：

timeGetTime(记下开始时的时间);

GetTickCount(获取当前毫秒数);

QueryPerformanceCount(获取精确时间)

Cheat Engine修改器会记录步骤开始时间，并获取时间函数的地址，通过Hook操作，跳转到自设函数，并在自设函数中修改返回值或输出参数，具体计算方式为当前时间+(当前时间-开始时间)*想要传入的倍数。

Cheat Engine调整倍速实现加速快速通关游戏

并且这种作弊方式的高维度趋势愈发显著。作弊用户会在在 PC 模拟器中运行的移动端游戏，利用Cheat Engine修改器Hook系统函数实现全局变速，并制售其外挂，这种高维度的作弊会绕过传统的检测手段，加大检测排查难度。

Hook安全模块

Hook安全模块则是较为激进的安全对抗，外挂作者会尝试直接绕过、架空游戏的安全检测模块，直接导致游戏安全检测手段失效。

这种情况下，即使游戏加密了，也会出现外挂破解等问题，是对游戏加固产品能力的综合考验，保证产品安全检测能力的同时，也要照顾到自身的安全模块。

针对游戏面临的Hook风险，FairGuard定制了专门的应对策略，该方案已接入多款热门游戏并验证了出色的保护能力。

主动识别恶意模块机制

区别于市面上其他安全产品，需要获取样本后进行外挂打击，FairGuard独家「主动识别恶意模块机制」可对游戏内可疑模块进行主动识别，搭配在线打击功能做到主动防御，大幅缩短外挂排查周期。

反调试功能

防止外挂作者对游戏进行调试，阻止对游戏的静态或动态分析，一旦发现立即闪退。

变速闪退功能

采用更加底层的检测手段，经大量实机测试，可无视任何变速器及其变种，一旦检测到变速情况，将立即闪退游戏。

防破解功能

FairGuard业界独家「无API签名校验技术」，对游戏的引擎与代码进行深度加密，并对游戏包签名和文件完整性进行多重校验，极大地减少被绕过的可能性，防止游戏被植入恶意模块、剔除广告等行为。

丨结语

FairGuard作为专注于游戏安全领域的第三方服务商，致力于帮助游戏公司解决外挂和破解问题，为游戏提供深度一体化的加密保护方案。

开发团队深耕技术，研发了无导入函数SO加壳、无API签名校验、三端通用的Unity Assetbundle资源加密方案等多项业界独家技术。

目前产品已经被FunPlus、三七互娱、游族、心动网络、恺英网络等多家头部公司采用，接入600+款热门游戏。

产品咨询联系方式：

QQ：2079128588

微信：fairguard01

技术交流QQ群：1105310296