游戏产业的阴暗面：外挂的秘密世界

堡垒之夜？守望先锋？英雄联盟？如果你听说过这些游戏但却不知道自瞄挂和穿墙挂的差别（还有透视挂），那就继续往下看完全文，我们将告诉你为什么有些普通玩家会觉得自己在竞争激烈的竞赛中格格不入，而我们又为什么需要关注这些问题。

截至2018年，电子游戏是世界上最赚钱的行业之一，仅在美国就创造了超过430亿美元的收益。游戏产业的完整媒体生态系统已经成形，从电子竞技到赛事转播，每年有将近4亿观众。像Twitch和Mixer这样的流媒体直播平台吸引了更多人加入这个行列。

ESA（美国娱乐软件协会）的一项研究表明，美国游戏玩家的平均年龄为34岁，其中有45%为女性，这恰好与人们对青少年和年轻男性更加沉迷游戏的刻板印象相反。如今，人们是否购买一款游戏的主要取决于它能否提供联网游戏的功能，开发者和发行商可以为玩家提供与其他玩家pk竞争排名的竞技场，并收取订阅费用。

电子游戏外挂不是什么新鲜事。但如今，在各种增强”游戏体验”的作弊器中，我们发现其中又些已经表现出与恶意软件相似的行为，使用了可与APT相匹敌的规避功能和技术。

游戏外挂是什么？它是怎么影响整个产业和其他玩家的？

在今天的大型多人游戏和网络游戏中，外挂会让玩家拥有远超其他玩家的优势。它不仅破坏了所有人的游戏体验，还直接（玩家使用外挂）或间接（玩家离开游戏）地给游戏公司造成了经济损失，而他们却无能为力。

目前对外挂还没有统一的分类标准，但总的来说，网络游戏的外挂可以分为两类：第一种利用客户端、服务器、环境或游戏本身的技术漏洞；第二种损害其他玩家的隐私和安全或从内部操纵。你肯定不会意外，这两种类型通常是一起发生的。

滋生灰色市场

长久以来，即便是在eBay等知名的交易网站，也能买到被盗的游戏道具或账号。但现在已经出现了专门的虚拟物品交易网站，玩家可以在这里买到特殊的游戏物品或快速提升等级。虚拟世界的血汗工厂代练们会接管买家的账户，帮他们执行一些无聊或重复的任务，而这只是整个灰色市场的冰山一角。除了出售作弊器之外，一些线上社区还会交易转售被盗的游戏账号、加速器账号以及色情网站账户。

除了出售作弊器之外，一些线上社区还会交易转售被盗的游戏账号、加速器账号以及色情网站账户。

声名狼藉的WoW Glider展示了整个外挂市场的巨大潜力，它是MDY Industries为魔兽世界开发的一款外挂，可以帮助玩家更快地升级自己在游戏中的人物。在巅峰时期曾拥有1200万名用户，以每套25美元的价格卖出了超过10万份，仅靠这一个作弊器就获得了数百万美元的利润。

有的时候，开发者只能使用合法手段打击外挂，他们所面临的困境就和打击勒索软件时一样。即便最终的结果有利于游戏发行商，但在整个冗长而乏味的过程中，他们需要面对不止一个国家的法律法规，而在这一切结束之后，又会有其他外挂持续不断地出现。

封禁浪潮

在2019年1月，Valve公司，即Steam数字发行平台的创造者，以及像《反恐反击》《Dota 2》等热门游戏的创造者，禁止了超过100万个账户。这被认为是迄今为止Steam平台上最大规模的封禁浪潮。

尽管进行了如此大规模的清查，社区里仍然充斥着抱怨外挂数量增加破坏游戏体验的评论和留言。

截止2018年，Valve数字下载市场和社区总共拥有1.25亿注册用户，仍然是PC端游戏的主要发行平台。Steam为发行商和开发者提供了一个简单而又熟悉的环境，让他们通过自己的作品盈利。

Steam能够保持其在线游戏平台领先地位原因之一是它的VAC (Valve Anti-Cheat)系统。该系统能够找出安装在用户电脑上的外挂，并直接封号。即便注册新账号的流程非常简单，但如果用户不能够提供诸如信用卡或电话号码之类的可验证信息，他能够使用的平台功能就非常有限。

我们暂时还不清楚反外挂引擎的工作方式，但外挂使用者不知道隐藏的安全机制如何运转，从而无法避开检测似乎也是它成功的原因之一。即使是简单的网络搜索，在内存扫描检测到”作弊”等词并标记可疑活动后，反外挂解决方案也会禁止玩家加入游戏。Valve的VAC被指控，哪怕用户没有从平台启动任何游戏，它都会持续检查用户的DNS查询。

VAC将监控正在运行的软件，如果它检测到Powershell、Sandboxie、Cheat Engine或其他列入黑名单的工具，将会禁止玩家参加线上比赛。

反外挂策略包括完整的内存扫描、过程分析、代码检查等等。在用户了解到这些组件的工作原理或第三方会收到的所有信息后，他们肯定会担心自己的隐私问题。

剖析与恶意软件相似的外挂

在考虑网络游戏的网络架构时，有一些元素必须在客户端直接处理，才能加快处理速度，减少发送到服务器、接受响应、最终渲染呈现在屏幕上的延迟。

外挂卖家提供基于时间订阅的不同游戏的穿墙挂和自瞄挂。每月的费用从20美金起步，只要100美元就能够终生使用。

这就为从客户端入手的外挂提供了便利。玩家可以修改游戏文件、内存变量、甚至用不同的显卡驱动显示被游戏客户端隐藏的内容，这就是穿墙挂和透视挂的主要原理。玩家能够看到墙背后的对手，比其他玩家拥有更多的信息并借此展现神乎其技的”技术”。

堡垒之夜是一款拥有超过2.5亿玩家的大逃杀游戏。它会在游戏启动时检测是否有正在运行的修改器，试图阻止反向工程活动并警告用户。更高级的外挂现在会使用rootkit，隐藏游戏修改器进程避免被反外挂工具检测到。这种动态威胁导致游戏开发者需要首先使用反外挂解决方案保护游戏，而这些解决方案同时也会表现一些rootkit行为。讽刺的是，这种对立双方进行军备竞赛的剧情，就和大多数游戏一样。

根据针对的游戏和外挂的功能，它的价格很容易超过原本游戏的价格。

外挂破坏了其他玩家的游戏体验

使用电子游戏外挂的动机和原因有很多。

针对想要随意修改游戏难度，并愿意为此付费购买工具、破解器、修改器的个体，有一个专门的细分市场正在蓬勃发展，经济效益不断增长。当用外挂的理由从打败其他人类玩家转为打败系统时，实际上我们是能够理解这群人的心理和行为的。但对于那些想要利用外挂获取优势打败其他玩家的用户，他们的危害显而易见，会直接影响到合法公司的收入和重视玩家的利益，应该通过其他类型的研究探讨他们的社会和行为因素。

对这种虚拟经济货币规模的估算是存在问题的，相关案件的法律诉讼只能让我们对这个局面有一点浅显的了解。实际上的问题远比目前少数几个例子中所展现出来的要严重得多。信息安全领域开始逐渐采取更加主动的方式介入，教育并保护玩家。

社区中充斥着抱怨外挂数量增加，破坏玩家游戏体验和开发者声誉的评论。

只有结合多个方面的专业知识，才能为企业和用户提供他们所期望的公平游戏环境。但就像游戏开发者可能不具备充足的安全知识，安全专家可能对游戏世界也不太熟悉。

电子游戏开发者依靠各种常见的原则创造玩家无法抗拒、令人上瘾的游戏环境。他们在设计关卡、游戏角色和奖励系统方面付出了相当大的努力，才能留住玩家。但外挂破坏了这个微妙的平衡。

当玩家不再游戏，线上社区充满负面信息时，整个行业，以及与之相关的工作都会受到影响。

眼见并非真实

“蛋糕是个谎言。”在传送门2里，有一个彩蛋表明奖励并不总是真实的。这个简单的句子概括了行为游戏设计的精髓。

游戏截图 | 传送门2:蛋糕是个谎言

作弊的历史与人类一样悠久，尽管科技的加入让它看起来更加富有吸引力，我们还是应该通过大规模的研究进一步了解这种行为造成的结果。因为每天都有各种各样新的游戏修改工具发布，其中一些具有类似恶意软件的功能。

反病毒行业在处理模糊代码、打包的可执行文件和其他恶意样本中的常见技术方面有非常丰富的经验，他们能轻松地将这些经验应用到游戏生态系统里。即便有些作弊器的最初目的和本质并没有恶意，但考虑到对用户安全和隐私的影响，结论还是非常明确的，这些行为全部属于非法行为。