断线交易法、网路延迟复制法、传点双开法、仓库交易断线法、三开断线法、按回卷机制 、合成加上各种延迟机制，宠物若有仓库还可配上一些传送物品或指令，交易後使用看看 http://yblog.org/archive/index.php/onlinegame_20090415#more 使亚洲的线上游戏研发历史已经超过第十个年头了，但是一些老旧的手法还是会发生存在 於一些游戏内，然後被不肖人士拿来牟利，并且破坏整个游戏经济。 来看看两个最近的案子吧。 第一个是这款游戏 *注意刊登时间，一天内整个崩盘 此游戏前阵子游戏币值每天都以倍数在沦陷跌停，这正是有复制漏洞在游戏流窜的最佳写 照。游戏该漏洞手法很旧式，因为程式码是旧的，所以bug方式和十年前的石器一样，现 在还可以用这种漏洞复制游戏币，原厂大概不知道台湾的石器曾经发生过什麽事情。 另外一个是老3D可爱游戏，一款漏洞百出的游戏，就因为程式底层的体质不良，问题实在 有够多，最近还爆发了复制有价稀有合成宝石，但是卖的人早就低调的卖了数个月，收手 後漏洞才爆发出来。但其实有在观察交易网站的人，应该很早就会发现有异常。 这类洗物品的手法稍微专业了点，需要靠ME(月光引擎，台湾某外挂论坛改的修改软体)来 修改物品记忆体，这是针对系统的程式判断疏失，利用修改器将贵重物品变成便宜的东西 取代掉，然後合成出珍贵的介质。 後者这游戏的案例，是Server没有再做资料的检查验证，若客户端可以任意改东西然後通 过伺服器被作用存取，那漏洞扩散是迟早的，这类漏洞是因为程式底层问题造成的，没有 办法马上修正，要根绝掉必须得整个翻掉相关程式码，这是浩大工程，因为程式就算改完 了还必须经过测试，你不知道程式的树状枝节牵涉到哪些子系统，会不会因为修改而产生 新的Bug，这没有一两个月以上解决不了，所以只能以侦测的方式抓，就像某2D热门横卷 RPG，能被改的东西实在太多，也只能用侦测的方式来阻挡，并配上帐号冻结来稍微阻止 问题再恶化下去。 *很难很难取得的物品，全伺服器大量卖，鬼上身了。 对於游戏程式的写法怎样避免漏洞，这个并非阿凉我的专业项目，所以没办法给予什麽见 解。不过简单的经验分享：有太多的漏洞，都是产生在Client端被修改，例如一些日韩系 的线上游戏可以改加速、改无国界攻击、远距离捡宝、全地图打怪等，这都是因为很多的 参数绑在客户端，然後没有再次做Server验证，所以被修改器利用了。 游戏设计相关的机制时，只能靠程式和研发小组人员的经验来防治，除了重要的资料要检 查，绑在客户端的资讯万一被修改必须不会破坏公平性或扰乱金流秩序， 小常识： Server再次验证其实很吃伺服器效能，若验证过多，玩家会发现游戏玩起来很不顺畅，因 为时时刻刻伺服器都在传资料，做什麽事情可能都会读取很久，若伺服器玩家人数一多， 那更是恐怖的负担，也有因为过度验证造成游戏玩起来很痛苦的案例出现过，所以该怎样 取舍，什麽东西可以安心的放在客户端，必须有良好的程式经验与判断。 游戏测试必须多元多样且深入 一些大陆的地下工作室，就我所知，会有一些制式的bug测试流程，游戏在上市之後，一 些以前老旧的复制洗钱手法会整个被翻出来演练一次，看看能不能找出牟利的漏洞，这些 从以前老游戏留下来的手法千百种，而且部分工作室经验丰富，经手过的游戏上百款，比 游戏公司测试部门还要详细专业，手法更是精密，且千奇百怪。 所以游戏在上市前，不仅仅只是找错字、测机制bug而已，这些传统地下手法相关人员要 不断的演练嚐试，而且平常就要把相关资料(方法)收集起来。 例如那种断线交易法、网路延迟复制法、传点双开法、仓库交易断线法、三开断线法、按 回卷机制、合成加上各种延迟机制，宠物若有仓库还可配上一些传送物品或指令，交易後 使用看看，诸如此类等等。 随时注意外挂论坛的文章 那麽以上的资讯平常要去哪边收集，当然除了台湾一大一中的游戏网站以外，游戏团队一 定要注意诸如「浪漫月光」、「外挂联合国」这种外挂和地下讨论区，这两个网站水量甚 至比游戏基地还多，虽有很多灌水废文，但仔细找还是会有一些较为粗浅的简易情报，或 是讨论外挂、bug的文章，游戏相关人员要定期上来收看，收集对游戏会产生伤害的资讯 。 当然有些情报不见得都是对的，，得自行判断过滤，毕竟这种论坛人多口杂，而且没有什 麽管制，什麽芭乐都会出现，另外记得要养帐号，有些文章要一点权限才可以阅读，没事 就多灌水吧。另外这些网站资讯时效性较差，常常都不是第一手资讯，或者是爆发了才会 被贴出来，所以留意交易网站的刊登会比较即时，另外若你比较勤劳，可往大陆的地下论 坛跑，东西比较深，不过请自己注意网站的安全性。 不要说不喜欢外挂就不看这些东西，请把这两个基本网站加入你的最爱，要常上来爬文。 另外就是自己要深入自家游戏的帮会或社群圈内，和大家培养交情打关系，因为「好东西 」通常会先和「好朋友」分享，社群是最容易流窜bug的地方。 *偶尔会发现一些很精采的东西，不一定正确，要靠经验过滤。 留意交易网站的币值和物品贩售情况 数字宝物交易网站是个很棒的情报站，光是观察币值变化和刊登物品情况就可以知道游戏 有没有出事情，以下举一些例子分享给大家。 出事情的徵兆： 1、游戏币值每天以50%以上的速度在下跌，甚至数小时刷新一次纪录 2、新伺服器的币值快速接近老伺服器，且同时下跌 3、同一人全伺服器卖币，游戏刚开没多久 4、全伺服器贩卖难取得的特殊物品，价格又低於市价不少 5、商城购物的币值，对比官方的点数比值异常的低，或差了两倍以上 6、声称可全伺服器订做很难精炼或成功率很低的高级装备 7、稳定缓慢下跌的币值，突然哪一天整个跨了 8、某一种东西突然大量有人在卖 9、点卡折扣过低，并声称无实体卡 10、哪天莫名奇妙爆出一大堆人卖币或稀有物品的 另外有些卖家很聪明，他也知道会引起注意，所以会申请很多帐号分散卖东西，或者是标 题都取不一样防被发现，所以光看标题不准，偶尔要打开内文看看文字描述，就可判断是 不是同一个卖家在全伺服器贩售物品。 追踪来源 若有怀疑要怎样追呢？除了从论坛和刊登去找线索之外，可以实际和对方交易，网站若规 定不能留电话，你在游戏内可以跟对方要，通常为了规避交易抽成，你若表示你要购买大 量，电话很容易要到。装阔也可和对方套交情，想办法多问一点资讯，或是用诱导性的对 话；另外就是实际和对方交易，记下与你交易的帐号，回头追查所有相关的交易Log纪录 和游戏历程，可查到物品或金钱的来源。 这很花时间，而且log的纪录是否详细会影响追查的结果，另外代理游戏原厂的支援度也 会关系到是否可找到漏洞，但是没有其他捷径，没有扩散或没被公布的资讯只能花时间抽 丝剥茧。所以代理的游戏其实要强烈的要求原厂给予这方面的资源，最好产品上市以前就 请对方做好相关的查询资讯工具。 *这种同一人在很多伺服器卖稀有物品，一定要特别当心，尤其价格又特别便宜的时候。 *官方代币12元一个，交易网站却整整便宜三到四倍，这就是有鬼的证明～ 注意每天的游戏金流或资料变化 每一款游戏应该都有，也应该要有游戏的总金流查询资讯。 像是每天所有储值的点数总和，是否符合游戏内玩家身上兑换到的代币总数量，如果有多 出来，就是哪边有漏洞，要想办法追查出来。 另外有些限定数量的物品，可以靠SQL的简易指令：sum、count从资料库栏位统计数量来 ，金钱也是，可找出是否有玩家身上有异常的资料数据。 另外若发生大规模盗帐号，那个不是玩家用啥外挂，这如果不是资料库出事情，就是资料 被不肖人士(包含内部员工、离职员工)整批盗卖，否则就是重要的登入页面被植入木马， 但通常後者会被玩家发现，而前者不会， 当然最後就是，公司要怎样鼓励员工去注意这些事情呢？这是得好好思考的问题，很多员 工时间到就想下班了，上班累，回家可能也不想碰游戏，更别说要看地下资讯，像阿凉这 种有浓厚变态兴趣与特殊癖好的人实在不多(羞)… Fin 海峡两岸的线上游戏总产值加起来高达一千亿台币，而线上游戏又有各自独立的经济，可 说是个相当特殊的体系，这恐怖的商机底下充满各种灭门手段，很多工作室只为了赚钱， 恶性竞争与法律不彰之下，游戏与资料库上市就得先承受多方的「考验」，不仅仅是玩家 而已，骇客也时时刻刻试着入侵攻击DB，想要窜改有价的资料牟利。 甚至像大陆，线上游戏这行兴起快，公司多又杂，不仅是外患，内贼多到难防，也有离职 员工在前公司电脑放马的案例，然後盗卖玩家资料，防不胜防。 花了一个晚上整理这篇文章，也是最近看到一些游戏又乱象起，分享一些经验，希望游戏 公司员工对自家游戏多颗防备的心，谢谢大家收看，咱下个主题见罗 :)。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.161.98.57