标题：【原创】通杀：脱机（乃至非脱机）防封技术浅析
作者：广海混沌
时间：2011年1月11日
链接：http://bbs.pediy.com/showthread.php?p=914863#post914863

<呵呵，这个ID本来昨天就已经注册了的，可是需要等待24小时候方能发帖，没招，等待是煎熬的过程，也是一个痛苦并快乐的过程--痛快！>

题外话：我是广海的混沌，本人久居广海，基本上是海边出生，海里成长，怎料，回海边来休息，无意中在某传说坐镇80高手的群中，意外地发现这批人貌似都来自同一个地方，正好今年冬天滴鹅毛大雪比往年来得都早一些，心情比较愉快，所以当看到“看雪”这个词的时候，心中无比惊讶，哇塞！这个源于大自然的词，居然很不可思议般符合了我这个冬天的意境，所以就上来看了看雪，怎奈，居然雪比较厚，还犹抱琵琶半遮面，想看一些题目很吸引人的帖子，居然让我百般所求而无果，本来想立即注册一个会员的，不料，发现有很多名字居然是临时用户，稍作了解，居然要一个邀请码方能变成正式会员，而邀请码有几种方式可获，其中100Kx虽然不多，但也不少，对于我此时急切的心情来说，要花太多时间来挣这个100Kx,显然有些远水不解近渴，只好用另一种方式，搞个有价值的帖子出来换取邀请码，而本人比较喜欢原创，所以就花了一个晚上来冥思苦想帖子题材，想了一晚上，还是觉得在我熟悉的领域里面做文章比较简单点，而之前在广海也陆陆续续的搞了几个通杀相关的帖子，且很意外的是，居然很不小心的也把过HS、NP的驱动搞成了通杀驱动，呵呵，不过这个比较敏感，涉及到的价值冲突暂时无法解决，要是公布出驱动来的话，那之前跟我购买的（那些）上帝要发火的，所以，只好另想其他，还好，功夫不负有心人，总结了一些以前开发的脱机及非脱机辅助，发现封号问题是严重影响打金工作室利益的问题，而本人正好在以往的成品中都很不小心的解决了这个问题，可能就有读者怀疑了，你这个家伙是不是忽悠人的啊，你以为封号问题那么好解决啊？也是，在本人有限的成品里面，脱机不超过5个，非脱机不超过10个，确实在量上面不好说明问题啊，虽然本人前段时间一直到现在都在增加研究游戏的数量，可是到现在也仅能达到83个，一直没有实现100的突破，所以在本帖子题目的后面为了表示不足，用了一个词“浅析”，确实只用了一个晚上并且在数量较少的成品及游戏里面做的总结，而且这个浅析只是针对游戏公司自动封号的情况；像暴雪人家雇佣一堆GG、MM来深切的关怀你的话，我暂时也无能为力了，就算有，也不敢说通杀了，只能说是一些建议能有效的减少封号问题，而不能杜绝封号问题。

    好了，开始正题吧。
针对游戏服务器自动封号的情况，咱们先来分析下她是如何自动封号的，很多人说是根据同一个IP登陆客户端的数量来确定的，只要同时在线数量超过了允许的值就会给你咔嚓，虽然不会心碎，但是肯定会心疼的，那封的不是号，是钱啊；但是，如果真的是这样的话，那么网吧光纤接入的IP，在同一个公网IP里面，就算同时在线的数量超过了服务器允许的值，也没有发现说把在当时网吧上的号给全咔嚓了呀，所以，里面还另有玄机。
    这个时候，更多人会补充，说在同一个机器上的才算，在同一个机器上在线号的数量超过服务器允许的值，才会封你号滴，确实，很多游戏公司都是这么干的，具体哪家公司这么干，我就不列举了，大家心里应该都基本了解，如果你是同行的话。
    那有没有办法对付这种情况呢？
其实，解决的方法是很多的，但是在这里，我既然说了通杀，那我就只说我的通杀方法吧。大家稍作停顿，再读一遍上面的词，说的是在同一个公网IP里面，同一个机器上面在线账号的数量，超过了服务器允许的范围就会被封掉，那么，公网IP,这个IP咱们可以不用管了，为什么？如果你是非脱机挂，那你可以给每台机器来一个单独的上号账号，嘿，说不定这个时候你就能减少乃至能够杜绝封号的情况了；但若你是上的脱机呢？一个机器同时在线几十甚至几百个号，你怎么能让每个号的IP都不一样呢？就算你改了发包的来源IP，但是收包的时候你怎么对应起你构造的那个本机虚拟IP出来？答案是否定的，至少在我现在的认知里面是否定的，当然不排除你掌握了我目前未了解到的虚拟IP技术。既然在通杀情况下，不需要考虑公网IP了，那我们把目光聚集在同一个机器上面吧，服务器为什么能判断出你机器上的在线号数量超过了他的允许范围呢？我想这个答案只只有一个：通过你机器上的硬件来判断的，而判断硬件，就是通过硬件特征来搞的，比如硬盘序列号、网卡MAC、主板序列号、CPU序列号等，那些软件的东西，像什么计算机名啊，系统特征啊，这些都可以一样，就不管了，继续看硬件吧，服务器是通过取你各个硬件的或者取某几个甚至某个硬件的特征来判断的，不过请放心，他取的特征最后是汇成一串机器码来向服务器发送的，他基本上不会单独取每一个硬件特征，然后对每一个硬件特征都单独比较，这个是不可能的，因为他的服务器还没有那么强大。这里我们需要注意的硬件应该是哪些呢？首先看机器的核心CPU吧，这个只要是同一个厂家同一条生产线的同一批型号的CPU，被系统取出来的CPU序列号都是一样的，也就是说这个CPU序列号可以不用考虑，其实取硬件特征主要是硬盘序列号和网卡MAC，那些什么主板、Bois等等的基本上不用做太多考虑，而在硬盘和网卡里面，网卡序列号是可以直接修改的，当然硬盘序列号也可以给你劫持的（通过一个IO端口函数就可以劫持了），能起到修改的作用，呵呵，其实也不用考虑得那么复杂，我之所以说硬件一些相关的信息，只是想让你知道他们的一些用处及修改的方式而已，真正能对封号起作用的硬件我们能够猜测出来，不过这些没有太大作用，这些我们只需作为了解就可以了，真正起作用的是这个机器码的结果，怎么来的可以不用管他，只需要知道结果就行，因为服务器要的就是结果，而我们要让服务器不能判断出这是同一个机器的机器码也是需要让他认为结果是不一样的就可以。所以，在这种情况下，我们只需要找到像服务器发送的那个结果，并将它修改后再发向服务器就可以欺骗服务器说2个号不在同一个机器上的。具体怎么做呢？其实结果要向服务器发送，那肯定是通过封包，只需要判断出哪个封包是把机器码发向服务器的，然后劫持，改之；如何改，当然最好的方法是在他明文包的时候，直接任意取那段机器码的有效长度内值，然后给他来个随机变化下，最后再让他把你修改后的值发向服务器，这样基本上出现2个号是同一个机器上的判断属于小概率事件了，如果你想让他成为绝对事件，绝对不会是同一个机器上的，那就可以给他来个按一定顺序递增或递减的变化，但是请把这个有效范围满足能够一直支持到你把程序关闭。这样，基本上就可以通杀那些自动封号的情况了。

    当然，有自动封号，就有手动封号的。那些被人为举报并且被工作人员手动封掉的，暂无能为力之外，别的都好说了；不过这个举报功能如果是自动化的话，还是可以轻易对付的，毕竟也会有很多游戏（如：枫之谷）来个客户端内置举报功能，这个时候当此功能被向指定ID触发的时候，客户端被扫描一下你这个ID游戏内存环境，这个只要在挂里面稍作处理即可被游戏检测认为是不可封号行为，这个远远没有那些通过判断公网IP、判断同一个机器封号来得猛烈。

    给类似暴雪手动封号或者根据在线时间长短来封号的一些建议：举报功能就不谈了，如果是根据时间长短来封你的话，那可以定时的换号，换号也可以单独换大号、小号或者大号、小号放一起来起到交叉的作用。（长时间在线操作会被认为是非正常玩家行为）

    给根据辅助程序特征封号的建议：3个字，改特征，可以是源码级的，当然这个最好改，也最有把握；还可以是非源码级的，这个就得用到一些修改工具了，比如修改辅助程序的标题啊、一些明显的功能特征等，不过这个不一定有源码级的有效。避免这个情况的发生，可以是内部使用，尽量不要让游戏公司拿到你的挂，这样就没有你的特征了。

    还有一些别的，有些是还没有想好，有些可能还没有想到，上面那些如有错漏，欢迎指正！
    补充题外话：呵呵，本来也想在看雪ID是：混沌，但没想到居然已经有人注册了这个名字了，所以为了区分，只好在前面加个定语：广海，结果就是：广海混沌。（来自广海的混沌，这样应该好区分了）
    嘿嘿，再次要求能给个邀请码哈，要不然不能转正就会很难过了，如果真能给邀请码的话，那就先O(∩_∩)O谢谢了。

    小结：本贴主要讲的是：通杀对通过判断同一机器在线账号数量超过服务器允许值进行封号情况的解决办法，即修改游戏发包中的机器码（如果是脱机，那么客户端就属于你做的，想怎么改都好办；若非脱机，那你需要搞一下截包，然后改之，再让其发之）。

    附注：  
    本人广海ID：混沌；
    QQ:1192340019；
    邮箱：1192340019@qq.com 
    交流群：辅助技术交流群 88823177 （满）；
       混沌交流群 71367967（未满）

[课程]Linux pwn 探索篇！