軟件自動(dòng)化濫用現(xiàn)狀分析及防御對(duì)策

武影影

摘要：該文從技術(shù)實(shí)現(xiàn)角度將現(xiàn)有的軟件自動(dòng)化濫用分成三類：篡改應(yīng)用進(jìn)程數(shù)據(jù)文件、修改進(jìn)程與服務(wù)器數(shù)據(jù)封包、監(jiān)聽(tīng)用戶界面并模擬用戶點(diǎn)擊或輸入。首先從用戶、軟件開(kāi)發(fā)者和網(wǎng)絡(luò)管理者等方面分析了自動(dòng)化濫用存在的原因，接著對(duì)三種自動(dòng)化濫用的原理進(jìn)行探討，最后，分別從技術(shù)、法律和經(jīng)濟(jì)方面針對(duì)三種自動(dòng)化濫用給出防御方法。

關(guān)鍵詞：篡改數(shù)據(jù);修改封包;模擬用戶;自動(dòng)化濫用防御方法

中圖分類號(hào)：TP309? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）19-0079-03

Analysis of Software Automation Abuse and Countermeasures

WU Ying-ying

（School of International Business， Tianjin Foreign Studies University， Tianjin 300270， China）

Abstract： From the perspective of technology implementation， this paper divides the existing automation abuse into three categories： tampering with process data files， modifying process and server data packets， monitoring user interface and simulating user click or input. This paper first analyzes the reasons of automation abuse from the aspects of users， software developers and network managers， then discusses the principles of three kinds of automation abuse， and finally gives the defense methods from the aspects of technology， law and economy.

Key words： tamper data; modify packets; simulate users; automation abuse defense methods

1 背景

軟件自動(dòng)化濫用（以下簡(jiǎn)稱濫用）是指借助輔助程序（輔助軟件）[1]，對(duì)原軟件基礎(chǔ)功能進(jìn)行修改，讓使用者獲得超出原軟件應(yīng)有性能的濫用現(xiàn)象。濫用已出現(xiàn)在多個(gè)領(lǐng)域，如游戲外掛、刷課、搶票、搶紅包等：游戲外掛數(shù)量呈逐年上升趨勢(shì);刷課軟件也隨著線上課程的出現(xiàn)“應(yīng)運(yùn)而生”;攜程、途牛、去哪兒網(wǎng)等搶票軟件層出不窮。濫用不僅破壞應(yīng)用使用的公平，還會(huì)危害到軟件開(kāi)發(fā)商、軟件發(fā)行商和其他用戶的利益。因此，分析濫用原理并給出相應(yīng)防御技術(shù)非常有必要。此前研究，大多針對(duì)篡改進(jìn)程數(shù)據(jù)文件和監(jiān)聽(tīng)用戶界面模擬用戶點(diǎn)擊或輸入給出相應(yīng)防御對(duì)策，本文在此基礎(chǔ)上，補(bǔ)充了修改進(jìn)程與服務(wù)器數(shù)據(jù)封包類的防御措施。

2 自動(dòng)化濫用原因分析

2.1 用戶

用戶使用自動(dòng)化軟件主要有三個(gè)原因：1）避免重復(fù)單一的動(dòng)作。如模擬點(diǎn)擊類游戲外掛、刷課軟件;2）獲得原軟件以外的功能。如修改數(shù)據(jù)封包類外掛，通過(guò)修改數(shù)值提升游戲人物能力值;3）謀取利益。用戶利用自動(dòng)化軟件實(shí)現(xiàn)游戲快速升級(jí)[2]、借助搶票軟件購(gòu)票，再將游戲賬號(hào)和票高價(jià)賣(mài)出，賺取利潤(rùn)。

2.2 軟件/腳本開(kāi)發(fā)者

開(kāi)發(fā)者主要為了獲取利益。通常自動(dòng)化軟件價(jià)格高昂，并且由于軟件的可復(fù)制性，一份軟件可以賣(mài)給多個(gè)用戶，開(kāi)發(fā)者因此能獲取巨額利潤(rùn)。

2.3 網(wǎng)絡(luò)管理者

濫用的防御存在一定的滯后性。在該類軟件最初使用時(shí)，網(wǎng)絡(luò)管理者并不能有效識(shí)別，通常在該類軟件大面積使用后，管理者才能開(kāi)發(fā)出相應(yīng)技術(shù)對(duì)其檢測(cè)和防御。

3 自動(dòng)化濫用的分類

濫用從技術(shù)上可以分為三類：篡改應(yīng)用進(jìn)程數(shù)據(jù)文件、修改進(jìn)程與服務(wù)器數(shù)據(jù)封包、監(jiān)聽(tīng)用戶界面并模擬用戶點(diǎn)擊或輸入。

3.1 篡改應(yīng)用進(jìn)程數(shù)據(jù)文件

篡改應(yīng)用進(jìn)程數(shù)據(jù)文件大多應(yīng)用于游戲外掛。目前主要有兩種方法。

1）通過(guò)輔助工具（如Delphi7、SPY4、Cheat Engine等 ）對(duì)游戲進(jìn)行逆向分析[3]，分析游戲頁(yè)面，得到游戲窗口句柄的API函數(shù);通過(guò)API函數(shù)逐步獲得游戲窗口句柄、窗口id、進(jìn)程句柄。借助輔助工具得到游戲中變量的內(nèi)存地址，利用進(jìn)程句柄和該變量地址，修改該游戲進(jìn)程數(shù)據(jù)。如修改游戲時(shí)鐘類外掛，外掛軟件通過(guò)修改游戲API函數(shù)修改游戲定時(shí)器[1]，實(shí)現(xiàn)修改游戲速度。

2）另外一種方式是向游戲進(jìn)程中注入外掛動(dòng)態(tài)鏈接庫(kù)（外掛DLL），由DLL入口函數(shù)執(zhí)行外掛代碼[4]。DLL注入可以通過(guò)APC（異步進(jìn)程調(diào)用）注入、Message注入、注冊(cè)列表注入、遠(yuǎn)程線程注入、輸入法注入等方式注入。

3.2 修改進(jìn)程與服務(wù)器數(shù)據(jù)封包

修改封包類自動(dòng)化軟件通過(guò)攔截客戶端與服務(wù)器之間的數(shù)據(jù)封包，解析數(shù)據(jù)封包，然后采取相應(yīng)的技術(shù)產(chǎn)生并發(fā)送服務(wù)器能識(shí)別的數(shù)據(jù)包。由于不同應(yīng)用程序客戶端/服務(wù)器交換數(shù)據(jù)包的差異性，這類外掛的針對(duì)性較強(qiáng)。主要有兩種方法：直接修改數(shù)據(jù)包、Hook API [5]。

1）直接修改數(shù)據(jù)包

直接修改數(shù)據(jù)包相對(duì)簡(jiǎn)單，但應(yīng)用卻很廣泛，尤其是在刷課領(lǐng)域。以刷課軟件為例，刷課軟件通過(guò)獲取課程頁(yè)面信息，如課程id、進(jìn)程id，課程時(shí)間長(zhǎng)度等，篡改信息后，將信息發(fā)送給數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)根據(jù)篡改后的信息記錄個(gè)人學(xué)習(xí)時(shí)長(zhǎng)。