| 商家名称 |
信用等级 |
购买信息 |
订购本书 |
|
|
 |
网络游戏安全揭密 |
 |
|
|
网络游戏安全揭密 |
|
基本信息·出版社:机械工业出版社
·出版日期:2009年04月
·ISBN:9787111255222
·条形码:9787111255222
·版本:第1版
·装帧:平装
·开本:16
·正文语种:中文
·丛书名:游戏开发技术系列丛书
·图书品牌:华章图书
内容简介 《网络游戏安全揭密》主要介绍了“游戏是如何被入侵的”、“我们又该如何防范”及“有哪些方法可以找到软件的漏洞”。《网络游戏安全揭密》以《魔兽世界》等MMO-PRG游戏为典型案例进行分析,非常清楚完整的地展示了入侵的代码,从简单的宏指令到复杂的系统后门入侵方法,都进行了毫不保留的展示。在《网络游戏安全揭密》中网络游戏就像是软件安全方面一个相当有趣的实验品。
《网络游戏安全揭密》适合各个层次的读者阅读,同时也可作为高等院校游戏开发技术方面的教材。
作者简介 Greg Hoglund 软件安全领域的领军人物,一位依靠自学成才的天才黑客。他成立了一系列的从事计算机安全方面的公司,其中包括著名的Cenzic和BugScan,目前正打理他自己创立的第三家公司——HBGary,专门致力于如何在黑客正在入侵和破解的时候迅速地捕捉到黑客信息,主要的服务对象是美国国防部。
Gary McGraw 全球公认的软件安全权威,Cigital公司的CTO,董事会成员,掌管Fortify软件公司的技术顾问团,同时担任Raven White公司的高级顾问。Gary在网络安全方面著有多本著作,其中的6本长居畅销书排行榜前列。
译者简介:
姚晓光 npc6.com创始人,现任腾讯公司游戏项目总监。曾任盛大网络盛锦游戏公司常务副总经理,游戏首席制作人:监制中国第一款回合MMORPG《幻灵游侠》;监制中国第一款真3D商业网游《神迹》;带领研发《QQ飞车》创50万人同时在线,编译《网络游戏开发》等书被选为游戏研发教材。
编辑推荐 此书献给
那些在上世纪80年代开始
彻夜玩着《巫术》和UO《创世纪I》的
铁杆游戏迷们
专业书评 关于《入侵网络游戏》的评论
“想象在足球比赛中只一味防守却不去关注对方的进攻会发生什么情况?你将无法得知对方什么时候会杀过来,不知道如何去防守对方的传接渗透,或者是发动一次闪电战般的进攻。在计算机网络领域也是这样,要做好防护工作,必须先清楚如何去进行攻击。我常常在我的课程里说道,你应该是第一个去攻击自己计算机系统的人,——而不是最后一个。”
“这个世界的网络化进程越来越快。当我还在警惕网上的投票行为时,网络游戏已经暴风骤雨般地铺开了。新时代到来了,游戏中的虚拟道具也可以具备真实货币的价值,因此财富可以通过这些虚拟物品而累积或消失,这对于玩家来说,构成了一定威胁。为了知道如何防护这种威胁,你必须理解这些危害是怎么回事。这本书是我见过的最深入最详尽地介绍如何入侵网络游戏的,我相信每一个White Hat都应该阅读此书。这可以让你们紧紧跟随着那些黑客们的步伐。”
——Aviel D.Rubin博士
约翰霍普金斯大学信息安全研究所计算机科学 教授
Professor, Computer Science
Technical Director, Information Security Institute
Johns Hopkins University
“所有人都在讨论虚拟世界,但是却没有人去讨论虚拟世界里的安全。Greg Hoglund和Gray McGraw在本书中完美地叙述了目前网络游戏中的安全问题。”
——Cade Metz
《PC杂志》资深主编
Senior Editor
PC Magazine
“在如何改进安全隐患方面,本书指出了一条正确的道路。正如本书作者所说的,当你面对着这些可憎的恶魔时,你需要有经验的同伴一起作战,就像持起亚瑟王之剑那样披荆斩棘。”
——Edward W. Felten博士
普林斯顿大学信息技术中心主任
计算机科学与公共事业 教授
“游戏经常用于现代军事演习来衡量技术进步带来的的成果,尤其是空军演习。本书的讨论方式也类似这一概念,将目标定为“入侵游戏”,来衡量一个游戏的安全性。本书对于目前较为严重的计算机系统安全问题来说,意义甚广。”
“大规模分布式系统将会是未来四分之一个世纪里软件发展的方向。我们需要去熟悉它们是如何运作的,并且更重要的是理解它们是如何因为安全隐患被入侵的。本书堪称此学术领域内的基石之作。”
——Daniel McGarvey
美国空军部 信息防护委员会主席
“就像孩子一样,Gary和我都是通过游戏而深入了解了计算机(而后是计算机安全)。起初我们沉溺于玩Apple ][s上的游戏,但后来发现游戏太少又很贵。于是我们互相拷贝对方的游戏,但发现这些游戏有版权保护措施,于是我们开始研究如何破解这些保护措施。但后来发现,破解这些游戏远比玩它们更有乐趣了。”
“随着如今网络游戏行业的蓬勃发展,人们不再仅仅是因为兴趣而去入侵游戏,而是为了现实的金钱。这是无法被阻止的一个趋势。但首先,本书揭示了目前黑客们常用的一些入侵技术。”
——Greg Morrisett 博士
哈佛大学工程学与应用科学学院 计算机科学 教授
“如果你现在是一名网络游戏的玩家但你却不了解网游中的安全,那你的游戏经历是不完整的;如果你正在编写一个大规模分布式软件系统但你又不参考网游,那你是落伍了。”
——Brian Chess 博士
Fortify Software创建者、首席技术师
Static Analysis中安全模块的制作者之一
“这本书以一种全新的视角来看待软件安全问题:去攻击一个网络游戏。新手一定会觉得本书充满了新奇之感,而老手们也会享受到独特的感觉,比如发现自己以前编程的一些错误,而且只有大规模的多人在线的网络游戏才可以揭示到这一点!太棒了!”
——Pravir Chandra
Cigital首席顾问
OpenSSL网络安全模块的制作者之一
序言 前言
目前:网络游戏,包括魔兽世界,无尽的任务,第二人生和在线扑克已经席卷了计算机世界。 游戏技术一直跑在计算机技术的前端,渗入消费市场的各个方面。过去十多年来,计算机游戏与因特网以同样快的速度发展,现在可以在数以千万计的家庭中发现游戏的踪迹。
互联网正在飞速发展,也正在经历很多青少年成长遇到的烦恼。 这些烦恼主要是无处不在的计算机安全问题。网络游戏,特别是大型多人在线角色扮演游戏(简称为MMORPG),直接受到这些安全问题的影响。
MMORPG游戏是一种非常复杂的大规模分布式客户端-服务器结构软件。游戏推动软件技术发展的极限,特别是在处理状态和时间方面(数以十万计的用户需要实时互动),作为软件安全的个案研究,该问题特别值得关注。事实上,MMORPG游戏遇到的安全问题可以用来预测计算机软件将会碰到的安全问题。
现代软件(不只是游戏软件)正在演变成为大规模分布式系统,需要与服务器发生交互;服务器要能够提供服务给数千用户同时使用。转向Web服务和面向服务的架构所采用的技术,如AJAX和Ruby,正是在线游戏技术发展的结果。目前在游戏这里学习到的技术将来一定会广泛适用于其他软件的发展中。
多人在线游戏是个大买卖,无时无刻不在赚钱,这更添加了该类软件的安全性需求。目前世界上最流行的网络游戏,暴雪的魔兽世界,已超过800万用户,每个人每月支付14美元去玩游戏。分析师估计,到2009年,游戏市场将达到120亿美元。
在虚拟世界中创造的MMORPG游戏,简单的数据结构具有价值,主要是因为该数据反映了游戏玩家花在玩游戏上的时间。玩家积累并交易虚拟财产。许多虚拟经济的人均国内生产总值大于不少小国家的GDP。游戏的虚拟经济和现实经济之间的存在直接联系。最近,在eBay中可以购买游戏点卡,游戏点卡相当于玩游戏的权利,另外,目前市场上还存在很多中间形式的游戏业务。这导致部分玩家对将游戏中的虚拟财富带到现实中来更感兴趣。
只要有利益存在,作弊等行为就会存在。在MMORPG游戏中,作弊者由于利益驱动,会采用破坏游戏安全的手段,来积累虚拟物品和经验点,用于交换现实世界中的金钱。许多非常有特色的游戏道具会通过拍卖出售给出价最高者。
不少经验丰富的黑客在利润丰厚的MMORPG游戏领域工作多年,其中一些人通过游戏作弊技术谋生。本书描述游戏黑客常用的攻击技术和技巧。
本书目标
正如你想象的那样,游戏公司对游戏作弊行为深恶痛绝。如果游戏中作弊行为猖獗,那些不作弊的玩家将会非常不满,从而改玩其他游戏。游戏开发商已经采取了一系列措施来改善游线安全,其中有些方法有争议(在后台监测玩家的电脑),有些通过法律来约束玩家(实行严格的软件许可协议和使用条件),有些通过加密手段(使用对称加密技术,但在游戏客户端代码包括密钥)。 本书希望通过介绍各种攻击和黑客技术,让游戏开发商更好的做好在线游戏安全工作。
作者认为本书的话题非常重要:首先,游戏涉及现实的金钱;第二,很多玩家不关注游戏安全,只关注游戏本身是否好玩;第三,网络游戏安全有许多重要的经验教训可以直接适用于其他软件。 另外,网络游戏安全很有意思。
例如,一些游戏公司已经使用rootkits技术,监测玩家的电脑。游戏公司也采用强硬手段制裁黑客,甚至制裁那些没有试图以任何方式恶意赚钱的黑客。其他软件厂商是否会在将来采用类似的手段呢?
不仅是技术问题,法律问题如网络游戏及其创造性的软件许可条款也预示着今后其他软件可能的发展模式。 游戏公司,学术界和用户之间的法律争议才刚刚开始。
最终,网络游戏安全带来一些有趣的问题,最紧迫问题是:如何平衡玩家的隐私权利以及保护游戏不被破解?
法律界限
首先,游戏一定不能纵容恶意黑客攻击或任何其他游戏作弊行为。最有意思的是深刻认识和讨论目前的网络游戏安全问题。作为安全专家,我们认为,只有理解游戏被分析时的具体技术细节,才能真正开始建立游戏安全保护系统,游戏才能够经受真正的攻击。因为利益的驱动,可以肯定,攻击都是有组织的行为。
笔者认为了解游戏如何工作以及怎么失败是非常必要的。做到这一点唯一的办法是要仔细研究游戏技术。本书未从安全角度显示网络游戏客户端失败的细节,仅说明了可以用来破解网络游戏的技术。本书目标不是为了创造网络游戏黑客大军,游戏黑客人数已经非常多,已经做这行的人员不可能从这本书获取更多信息。本书主要目的是通过描述游戏破解的各种工具和方法,让游戏开发人员了解游戏是如何被破解的。
本书研究的内容,不和任何法律冲突。笔者也希望读者同样不要使用本书介绍的技术做违法行为。
本书内容
本书开始先介绍游戏安全的总体情况,并逐步在后续的章节讲解更多的技术细节。
第1章,介绍了为什么选择游戏这个主题?回答了一些简单的问题:网络游戏规模,人数,为什么有人想破解游戏,游戏作弊的动机等。这些问题的答案可能会出乎您的意料,1000万人玩在线游戏,金额达数十亿美元,这当中有部分人则以欺骗为生。 第一章还简单介绍了游戏架构,描述了大多数游戏使用的客户-服务器模式。
第2章介绍了基本的游戏分析技术,本章描述六个基本内容:(1)制作“外挂”类程序, (2)用户界面利用,(3)使用代理,(4)内存修改,(5)使用调试器,(6)预测技术。笔者特别关注外挂制作,因为大多数游戏存在外挂。本章后部分中,笔者展示了一个非常简单的外挂,让读者能更直观的了解外挂。 然后,笔者描述一个游戏制造商为了对付外挂所采用的有争议的行为:安装的rootkit类似的间谍软件,用于跟踪玩家的PC行为。 笔者对此行为持有不同意见,并开发了一个程序用于检测玩家计算机的行为。笔者认为游戏厂商应当投入资源开发更安全的游戏,而不是把资源投入在开发监测技术上。
接下来的两个章节主要讲解金钱和法律相关内容。第3章,描述了在利益驱使下,部分玩家试图作弊。最近 Julian Dibbell (Basic Books, 2006)的Play Money一书中描述一个可怜男子进军职业联赛的情况。游戏企业已经成长,有足够的钱提供中介服务,为玩家购买和出售虚拟物品提供平台。甚至,对于互联网游戏娱乐公司(Internet Gaming Entertainment,IGE)来说,值得为该公司专门开辟一章来介绍。
第4章介绍有关法律内容。游戏公司(实际上包含其他软件制造商)建立了一系列许可证,最终用户许可协议(下载内容)和使用条款文件等。笔者不是律师,你也不应依靠笔者的意见,这里仅简要介绍了美国版权法与数字千年版权法(DMCA)。然后,笔者介绍索尼的rootkit相关内容。
第5章重新开始描述技术方面的内容,主要讲述在线游戏的漏洞。本章描述在许多场游戏中发现的各种漏洞及其攻击手段。特别关注时间和状态相关的漏洞,该类漏洞更容易在游戏中出现。
第6章开始描述真正的技术内容,本章主要关注游戏客户端破解。 随着我们更深入地分析游戏,笔者不得不使用一两个游戏作为特定的目标。这样做的目的不是为了挑某些游戏的刺,而是为了讲解技术的需要。本书选暴雪的魔兽世界作为目标,主要是因为它是排名世界第一的网络游戏。使用在魔兽世界上的技术可以类推到几乎所有的在线游戏(甚至现代Web 2.0软件) 。 第6章的开始部分讨论了攻击者的工具包(笔者描述的为标准软件测试工具) 。 然后,将讨论游戏黑客技术同样重要的四个方面:(1)利用游戏用户界面突破游戏,(2)操纵游戏内存,(3)游戏之下,通过底层服务如视频驱动程序突破游戏,(4)拦截和操纵游戏的网络流量。第6章是本书的核心内容,介绍了大量游戏分析者常用的技术。
第6章包含太多的数据,实践会更容易理解这些技术。为此,第7章在第6章的基础上,构建一个外挂。第7章的技术性较强,用大量的例子代码,展示了第6章的想法如何实现。
第8章主要介绍逆向工程技术,技术性更强。本章内容比较难,但是也不是什么新的技术,可以参考Exploiting Software (Addison-Wesley, 2004)获取更多信息。反汇编器和反编译器本身只是一个工具,本身无所谓好坏,主要看是好人还是坏人使用。
第9章介绍最终的技术内容:先进的游戏破解技术。本章讨论游戏金钱系统和游戏资源。描述了从游戏数据文件中获取资源构建私服及混和不同的游戏特性等内容。游戏公司一直在努力试图制止该行为的发生,但是该类行为一直存在。
这本书的目的是帮助游戏开发者如何把安全工作做得更好。第10章,介绍软件安全的新领域。 游戏开发商应当采取一些更好的做法,使游戏安全做得更出色。笔者还描述了一系列玩家可能向游戏公司咨询的安全问题。笔者最希望的是,本书能推动更多安全的软件的开发,无论是在游戏界或者其他领域。
软件安全系列图书
本书作为Addison-Wesley出版社软件安全系列图书的一部分,该系列包括以下图书:
? Exploiting Online Games: Cheating Massively Distributed Systems
? Secure Programming with Static Analysis
? Software Security: Building Security In
? Rootkits: Subverting the Windows Kernel
? Exploiting Software: How to Break Code
? Building Secure Software: How to Avoid Security Problems the Right Way
本系列将会有更多的书籍。联系Addison-Wesley出版社或者Gary McGraw以获取更多信息。
《入侵网络游戏》- 游戏漏洞和破解实例 译者序
入侵游戏的诱惑如果有一天,突然有人对你说“你要交200元的罚款才可以离开”,千万不要以为你是因违犯交通规则而被交警抓了,而是因为你在网游中使用“外挂”,被游戏程序自动“抓捕”了,要交200元的罚款。如果有机会,很多人会作弊,尤其是认为自己不会被抓到的时候。网络上可以很容易的匿名,这就让作弊更具吸引力。游戏是软件,是软件就有缺陷,这是来自人类开发者的DNA。每天都有很多人使用网络游戏的外挂和辅助工具,其中部分玩家是因为太忙,虽然很想玩但没有办法投入太多时间,不得不采用作弊的方式。为了改变网络游戏岌岌可危的安全局势,游戏开发人员必须在软件安全方面做得更好,毕竟任何公司都没有权利通过对玩家罚款来制止外挂。提高网络游戏安全性的第一步,就是掌握游戏被入侵时实际发生的情况。
那么游戏是如何被入侵的呢?
我们又该如何防范呢?
有哪些方法可以找到软件的漏洞呢?
这就是本书所要说的。书中以《魔兽世界》等MMO-PRG游戏为典型案例进行分析,非常清楚完整的地展示了入侵的代码,从简单的宏指令到复杂的系统后门入侵方法,都毫不保留的展示。在本书中网络游戏就像是软件安全方面一个相当有趣的实验品。
网游的安全问题阻碍游戏的成功随着竞争越来越激烈,游戏研发、代理、运维、市场的成本越来越高, 信息和电子对抗本来就是一场精彩的较量,网络游戏的设计有着很多缺陷,例如:“两种技能的叠加”就是一种找漏洞的策略。在WoW中魔法交互作用的结果会很惊人。在的宠物身上使用“豹群守护”魔法,然后让它攻击远处的怪物,紧接着在“飞行点”搭乘飞行坐骑。通过这2种技能的组合,有趣的状态发生了。——在这个例子中,你并没有开始自动飞行,而是获得了飞行坐骑的控制权,可以自己驾驶坐鹰了。这类问题并不限于WoW,状态组合攻击对大部分的MMORPG都有效,利用状态时间差甚至可以复制网络游戏中的装备和金钱。当然除了找到游戏设计缺陷本书的精华部分更在于六、七、八三章说到的入侵技术和手段。其中谈到的破解技术:自动控制键盘鼠标、像素采样、数据包传递和截获、覆盖率测试工具、反编译、反汇编、故障注入引擎、逆向代码工程、动态跟踪、注入DLL文件、内存伪造等技术等。这些内容不管是针对游戏,还是其他软件都非常重要。这些技术的掌握程度是初级破解者和资深破解人员区的标志。如果读者真的对破解软件感兴趣,学习逆向这些技巧绝对是值得的。
“看雪”是一位知名破解者的网名,他曾说过:“很多人都想做破解者,好像破解了一个程序就很风光,人人都很佩服。”[0Day]是国际上著名的破解者组织。据说,美国的一些大学给成为[0Day]成员的学生加分,表示认同他们的技术水准。这个组织的成员有能力在一天内破解软件。这些年轻人喜欢穿着印有破解组织标志的外套招摇过市, FBI (中央情报局) 官方网站曾被美国的网络破译者们改成改为 FBF(中央愚笨局)。他们不赚钱,但追求绝对技术。“看雪”也说:“当破解者的目的是,在破解中跟踪软件,了解程序思路,这样提高自我使自己能写出更完美的程序。”在美国和欧洲,破解者被厂商告上法庭,但被判无罪或仅被处以轻微罚款,因为有些破解者并不谋利。表面上看,破解者主观上是在和游戏技术较劲,客观上是和游戏的厂商对抗。游戏厂商往往财大气粗,破解者常常钱少势单,这使破解具有了几分以弱抗强、行侠仗义的色彩。所以游戏公司的研发人员必须用自己的技术手段保证大量的付费玩家不受到外挂等非法软件的侵害,维护游戏世界的公平环境。
恭喜你拥有了本书本书是具有传奇色彩并为美国国防部服务的破解天才“格雷格-霍格伦德”和全球公认的软件安全权威“加里?麦克格劳”联手著作的,除了针对软件破解者,对游戏研发者更具参考价值,“格雷格”也希望有朝一日能够将自己的反破解技术运用到自己研发的一款网络游戏,实战中去完善游戏安全方面的知识。对于经验不够丰富的软件安全人员而言,两位大师著作的此书可能有些晦涩,如能细心研读并多加参考相关书籍定能“入宝山而不空手而归!”
再次恭喜你选择了本书,请记住你是个天才孩童。当其他人只看一个台阶的时候,天才看到了两个。现在你做到了,在网络游戏安全日渐突出的时候你选择了本书,破解和反破解本来就是一个神奇的行业,对那些胸怀大智的游戏设计者们本书非常有参考意义,欢迎你选择来到天才的世界!
笔者陆续编译了《网络游戏开发》、《游戏关卡设计》、《游戏角色和剧本创造》游戏行业书籍,但是拿到本书才发现编译游戏书籍原来如此困难,书中涉及了太多的专业名词和代码中的注释。很有幸在编译过程中得到了来自腾讯互动娱乐“业务安全组”同事们的支持,感谢李俊明、单晖、曹赟为本书编译付出的心血,并感谢上海外国语大学翻译学硕士张蔚女士提供专业支持。
腾讯公司游戏项目总监 姚晓光
文摘 入侵网络游戏
——在大规模分布式系统中作弊
1.为什么选择游戏这个主题?
电脑游戏的世界很庞大。全世界有数以千万计的用户在玩电脑游戏。微软公司的报告显示,玩游戏是操作系统平台上第三种最常见的行为,仅次于浏览网页和阅读电子邮件。在2005年,游戏市场的年增长率超过10%,全世界游戏市场规模超过60亿美元。每一个人都喜欢玩游戏。
在1952年,当A.S.“道格拉斯”为英国的“爱达赛克”(EDSAC,是英文Electronic Delay Storage Automatic Calculator的简称,第一台存储程序的“诺依曼机器”)制作了连珠游戏时,第一款电脑游戏诞生了。今天,电脑上有各种类型的游戏,从单机游戏(例如《小精灵》)到大型多人在线游戏WOW《魔兽世界》,以及介于这两种游戏类型之间的其它游戏(比如在线扑克以及DOOM《毁灭战士》这样的游戏)。2006年,全世界有1千万以上的玩家在玩大型多人在线游戏(MMO),并且这个数字以每两年翻一倍的速度增长。IDG的分析家估计,美国有290万人在玩大型多人在线游戏。
最流行的大型多人在线游戏莫过于角色扮演游戏(RPG)。RPG十分符合“龙与地下城”的规则。现在,全世界有超出200款大型多人在线角色扮演游戏(MMORPG)。在这些游戏里,玩家养成居在虚拟世界里的角色,完成各种任务,和其他玩家成为敌人或朋友。计算机里的数据也拥有真实的价值,在eBay快速搜索“魔兽世界 金币”(网址:http//search.ebay.com/world-of-warcraft-gold),结果可以证实这一点。同时,这也证明了虚拟游戏中的金钱和真实的货币事实上已经在互相流通了!
在线扑克游戏牵涉的金钱甚至比MMO中的更多。每天都有上万人在很多流行的扑克网站中互相对战,玩美式扑克之类的游戏。扑克游戏网站通过收取手续费或是收取赌注抽水比例来盈利。(玩家自己也可以通过击败对手赚钱。一些专业玩家以此为生)。一些比较受欢迎的在线扑克网站的年度利润高达数十亿美元。2005年至少有两家这类公司上市。
所有的电脑游戏都有一个就像“阿基里斯腱”这样的弱点——它们都是计算机软件。通过一些修改配置和参数,以及其它攻击计算机软件的方法,恶意的玩家因而能够作弊。当黑客只是修改你家书房电脑里俄罗斯方块的最高成绩文件时,这似乎没什么影响。但是当这种行为变成在网络扑克等游戏中骗你入圈套来赢钱,或是把你珍贵的游戏道具通过eBay卖给别的玩家来赚钱,或是把虚拟货币卖给第三方交易中心,这件事情就严重了。
每天
……
