简要分析一下集结号游戏的安全问题,不要以为集结号游戏有微信验证就感觉很安全,所谓安全都是相对的,集结号微信不一定会让账号安全多很多,因为经常听到朋友说集结号经常被盗号,所以我就分析了一下集结号的安全机制,从游戏登陆到游戏大厅,再从大厅进入游戏房间,我们都知道游戏大厅和服务器是短链接,那就很简单的问题就是说一切数据都是可以模拟的,甚至用户压根不用走登陆服务器就可以进入到游戏大厅。进入游戏房间的时候 用户会发大概一下几个数据, 的GameiD,密码(MD5),房间ID,本机机器码,还有一个标示字段,所以如果有人恶意在玩家电脑上安装木马,把需要的数据获取到即可轻松登陆玩家账号,下面截图是登陆游戏大厅后用OD 显示出来的数据 就是说一旦玩家登陆上自己的游戏账号,自己的密码(MD5值),账号等均在游戏内存指定地址存放,压根不需要所谓的监控你输入密码什么的,有人说这个密码是MD5值,大家都知道MD5值在正常情况下是不知道真实的密码,虽然现在所谓的大数据,可以反查询出些常见的密码出来,但是对有的人来说,有密码的md5值就足够了,因为我们知道其实在游戏服务器端保存的即是密码的MD5值,而不是用户真正的密码。 其实只要把上面几个数据获取到,然后自己登陆一个账号把上面获取的数据替换上去就可以简单的登陆玩家的游戏账号了,不需要微信等繁琐的验证,所以分析后发现集结号游戏的安全也不过如此,难怪我朋友的账号经常被盗。 上面图中的在线表示码,那个数字是每次登陆均在改变的,即说那个数据只要登陆一次 即变一次,应该是服务器在登陆的时候按照某种规律生成一个,然后保存到数据库,当需要的时候拿出来对比,来表明这个账号是否登陆过。具体原理没有细细研究,只是无聊看看罢了 申明:本篇文章纯粹个人兴趣爱好,请勿用于非法用途 个人微信号:feilongqp 同样爱好棋牌的可以加我
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
还有个参数的,正常登陆服务器会返回一个验证id 通过这个id才能正常进游戏大厅。所以登陆大厅是必须的。