增加有效字节黑客攻击难度的可能策略

Question

我被要求修复虚幻系列游戏中的一些小缺陷。它使用 unrealscript 语言，以与 Java 类似的方式生成字节码。

问题之一是可以编辑下载到客户端的任何包并插入 goto 指令来跳过重要的代码位。

这是不可能阻止的，所以我想知道可以应用什么样的策略来使任务变得更加困难。我想到了两种方法：

1. 针对客户端的任何内容的自动内部状态检查机制。这 完成的方法是对每个进行前后检查 函数调用。该语言的一个特点是函数中的 out 关键字。

   <块引用>

   指定的“out”可以让你告诉 它实际上应该具有的功能 修改传递给的变量 它，而不是制作本地副本。 这很有用，例如，如果您 有一个需要返回的函数 给调用者几个值。你可以 只需让调用者传递几个 函数的变量是 “输出”值。

2. 服务器端检查机制，如果发生不连贯的情况或 有一个超时。显然，代码不能每次都在客户端和服务器之间反弹 勾选是因为它会产生开销，但可能会有一些 例如，每 x 秒交换一次信息。

   也许这两种方法可以结合起来。您对此有何看法？

Answer 1

如果目的是确定任何代码是否已更改，那么直接的解决方案是对代码进行校验和（例如在初始化时，甚至更早，例如在下载之前），并定期验证代码的校验和是否未更改。

那么问题就变成了检测校验和检查代码是否未被黑客攻击。

作为一名黑客，我唯一一次被击败的是一个昂贵的软件包，其目标代码使用了从代码中看似随机的不同点调用的五个以上校验和例程。弄清楚如何解决这个问题比解决问题更麻烦。只需确保使用不同的函数初始化每个校验和，但使初始化的调用难以追踪。在初始化过程中连续执行所有这些操作非常容易被击败。