凌聪：《开心消消乐》如何防玩家作弊
2014年，一款轻度游戏《开心消消乐》在PC端和手机端都获得了很大成功。开发商乐元素在为游戏拥有巨大的用户量和收入开心时，也忙着与作弊玩家&斗智斗勇&。
&10%的用户天天在玩《开心消消乐》，淘宝和百度都有非常多人在卖作弊手段。& 乐元素首席技术官凌冲在MDCC游戏高峰论坛上说，玩家作弊直接影响了游戏的收入，他们累积了许多反玩家作弊的经验，&听我细细道来&。
一、作弊玩家带来的坏影响
1）影响游戏收入；
2）影响游戏平衡。弱联网游戏影响最大的是排行榜，包括全局排名、地区排名和好友排名，如果被作弊，有些用户发现作弊走掉；
3）广告。&它直接骗钱，我们买过一次广告，居然有75%的量是假的。&
& 二、可能存在的安全问题
1）存档被篡改和复制，造成你的损失。
2）本地配置被篡改。在离线游戏、休闲游戏里面可能有些配置被篡改掉。
3）帐号被盗和恶意修改。
4）内存被修改。我们有三种内存：传输性内存，因为传输型内存都是一次性的，所以不用加密；永久型内存肯定要加密的，这里放的是用户状态 比如血、精力值；暂存，比如《开心消消乐》打完一关，获取的金币和获取的经验都会暂存的，需要进行加密。
5）网络协议被破解和重放攻击。
6）工程被逆向破译。现在有很多高技术，包括我以前也做过这个事，在CPU广角上直接打几个出来可以反汇编你的代码 ，然后把你的工程逆向。
7）二进制程序可能被修改。刚才讲到的只要涉及到加解密，都会把加解密函数钩走，然后把它修改掉。
8）函数被挂起。
三、存档协议设计
1）Magic number：标记存档类型
2）版本号：标记加密方法类型 。如果一个休闲游戏需要兼容两版本模式肯定需要版本号。
3）源数据。为什么要设计？要验证你解密后的存档数据是不是一致的。
4）初始向量。尽量每次都不要一样，因为否则很容易被反向。
四、密钥的产生
首先，密钥一定是个随机数。第二，密钥最好是生成，不要在代码里面去。比如我们看过一些破解程序，发现密钥直接写在字符串里面。
产生随机密钥的技巧：应使用工业级加密库的产生函数，这样更随机 自己产生的随机数，如以下算法，实际上最多只有231种密钥，而加密算法要求2256。
五、初始向量的用法
尽量不要使用ECB，每一个都是可以单独解的，问题是它的加密强度不够强的，所以我们建议用CBC做加密比较稳妥 。
六、阻止存档转移
1）玩家可能将存档发给他人破解（如淘宝卖家），需阻止设备直接共享存档文件
2）通过使用UDID参与加密，来阻止存档转移
方法1：UDID参与密钥产生
KEY = RAWKEY & SHA256(UDID)
方法2：UDID参与IV产生
IV = RAWIV & SHA256(UDID)
存档协议中只存储RAWIV
当你复制存档 给另外一个设备的时候设备打不开的，因为它的KEY不一样。
七、限制存档降级
&比如我们发现一个版本有漏洞，结果我们打了个过去，用户发现你打了个过去，我赶紧把代码 回滚到以前，然后再打开存档 ，这样的话就可以再次修改，这个就是存档降级。&凌聪说。
1）我们程序里面肯定需要有新旧两个存档的，从旧存档升级到新存档 ，新存档不能给旧程序读取。
2）我们还做了在服务端校验，如果设备里面生了新存档 ，不能再用旧存档 存档 。 防止一个设备上来回存档 的问题。
八、内存修改
&刚才讲了内存修改分三种内存，其中第二、第三种，暂存和永久性内存是必须要加密的。&
凌聪说：&有两个修改期：之前有个八门神器，这就是对比内存 ，内存值变了两次之后，它找到你内存的偏移地址，可以定位到内存地址在哪里。八门神器我们当时解决的方法比较好解决，用非常简单的加减法可以解决加密问题，因为它找不到原来的数据，或者血不是整数，这样它也找不到。现在有一个更高级的，叫烧饼修改器，它能力挺强的，假设你修改的数加了个&038&，它一样可以找到。另外，它支持加减法，如果你的数据是加减法或者乘除法它能找到，所以内存的加密函数需要变化。&
防止内存修改最简单的方式是做一个加密的HashMap ，进的时候是加密的，出的时候是解密的，在函数里面加上一些较为强加密的算法就行了。
九、协议破解的几种可能性
协议破解一种方式是通过抓包工具，移动设备因为支持WiFi，其实挺简单的，现在小米和360WiFi直接插到电脑，把WiFi地址指向小米和360的WiFi，就可以拦它的包了。
抓包完之后，如果你的协议没加密，用户可以伪造请求 ，也可以伪造服务器响应，伪造服务器响应最大的用处是用在APPLE的IEP，IEP会截获一个消息，然后给你一个假的。玩家通过拦截服务器的响应做重放，客户端重放上次的请求。当然，玩家知道协议之后可以伪装成另外一个玩家，这是更恶劣的情节。
十、伪造请求的防范
加密肯定是需要的，加密的通讯协议最好自己写。然后建议AES。
十一、伪造响应的防范&
要么采用非对称签名验证方式防范 ，但是这个速度比较慢，不建议用。
另外一个是用TLS，如果我们要用TLS的话要注意校验服务器的证书在客户端那，因为服务器的证书很容易被篡改 。比如它通讯的时候可以用自己的证书，这样的话是可以拦截你的协议的。如果程序破解了，函数直接就调用了。
十二、重放攻击
&刚才讲的响应服务器主要是不让别人破解我们的协议，重放攻击是什么？&
凌聪说：&重复攻击是我不需要了解你的加密协议，我只需要重放就行了。我们有一个版本的游戏是出现过这样的问题，攻击者拦截你的请求，然后多次重放，如果你没有做校验，很容易导致你的数据不断的往上增加。这个最重要的是支付，比如你从APPLE拿到一个支付响应，回传给你服务器的时候，它抓住这个请求不断的重放，这样很容易造成重放的攻击。&
重放攻击最好的解决方案是中间加一个nonce。服务器的响应，服务器辨别你的时候它要看到，如果这个nonce是以前已经用过的就把它丢弃掉，为啥？因为这肯定是作假。
十三、防范帐号伪装
过程，是登陆的过程。登陆的过程拿到SessionKey,其他所有的请求都要使用这个，这个是服务器端生成的，服务器端可以每次校验这个SessionKey。
&我们是分开的，给用户看Userld，所以我们不要在传输协议仅放一个Userld，这个用户标识是服务器产生的，安全性就没有了，客户端把这个存起来，以后都用这个服务器标识跟后端通讯。&
SessionKey有两个作用，一个是防止多Session登陆，另外，SessionKey和Userld是关联的，因为SessionKey每次都不一样，所以要伪造比较难。为什么不用用户标识？因为每次都传安全性是低的，是很危险的。所以做这两个主要是为了提高你的安全性。
十三、防范程序被逆向破解的方法
1）关键是符号隐藏，函数符号表隐藏住。特别是加解密函数。
2）关键字混淆。
3）程序逻辑混淆。
4）内存加密。
5）阻止动态跟踪调试。
6）二进制程序校验。这里除了你提交的主程序之外，另外一个也要防止篡改。
7）Lua脚本加密也很重要。
十四、符号隐藏
1）尽量不用系统的函数库，因为系统的函数库你没有任何办法把它隐藏 ，它都是暴露在那的，只要你用它，它就可以挂接到钩子上去，所以尽量不要用。
2）重要的函数在模块里面，尽量用static函数。
3）关键加密库要设置关闭符号表导出。你把输出函数符号表隐藏掉。
4）Xcode配置Symbols Hidden By Default。我看国外很多游戏已经这么做了。
5）你可以通过nm命令可以查询到输出函数 。如果没有函数符号表输出就比较安全了。
十五、防范程序被逆向破解的方法
我们现在很多时候只能做到混淆接口、混淆方法名、混淆属性 名，让破解者看不出真正接口的用途 ，这也是一般的JAVA等经常用的混淆的手段。最好的方法是有一些特别的函数，特别加解密汉书尽量用C语言把它包起来，这样比较安全一些。
程序逻辑混淆是以前加密狗做的，但是现在加壳IOS还没有。另外，开源程序逻辑混淆，obfuscator-llvm，大家可以到网上Google一下这个使用方式。
接下来是我们要防止跟踪调试，刚才讲用GDB挂，因为绝大多数人不会做这个事情，我们可以用GDB挂去调它的函数，只要看到有一个数字函数，我就可以看到你的输入输出参数 ，我只要会一点点汇编语言，就基本能看到你的参数 。所以我们需要防止这个GDB，这也是我们参照网上代码怎么把这个东西拦住的。
十六、二进制文件校验
至进制文件校验，如果休闲游戏就在客户端校验。
反盗号，如果离线的话非常容易盗号，越狱机器什么都可以改，所以我们需要防止它做这个事。第一个，最好有个网络帐户，如果用它用网络帐号登陆的话，就不让他用本地帐户校验了。如果是本地校验建议不要用可变的，自己在KeyChain里面存储一个UUID，如果你做越狱了，很可能会丢掉，安卓 上面就自己建一个文件。如果是它用了网络帐户登陆的话，它如果要恢复，比如说它重装了应用的话，可以通过这个网络帐户拿回它的信息，网络帐户有可能是Facebook、QQ、微博甚至自己用户名密码 都是可以的。
解决方案总结：
存档被篡改：AES、限制转移、限制降级 。
协议被破解：AES、SSL/TLS、nonce防重放 。
盗号或用户伪装：用户标识符、社交账号绑定 。
工程被逆向破译：符号隐藏、标识符混淆、逻辑混淆 。
函数被Hook：隐藏和混淆、阻止跟踪调试、阻止外挂启动 。
二进制程序被修改：验证校验码 。
内存被修改：内存加密 。
大招：上传用户操作和随机种子，数据监控+回放+人工审核 。
【本篇文章由游戏茶馆阿思原创，如需转载请注明出处】
你可能还喜欢
IOS正版,Android
IOS正版,Android
IOS正版,Android
IOS正版,Android
关注微信公众号，了解最新精彩内容：手机游戏免费下载第一发布!
手机访问：
&&&开心消消乐怎么切换账号 更换账号注销详解
开心消消乐怎么切换账号 更换账号注销详解
编辑：游戏厂商&&来源：APP178手游网整理&&发布时间： 12:19
　　开心消消乐怎么切换账号 更换账号注销详解，还不知道的小伙伴快点跟小编一起来看看吧，今天的可谓是绝对的丰富精彩，一定可以帮助到各位，废话不多少让我们马上开始！
　　开心消消乐切换账号
　　方法1：其实开心消消乐切换账号真的非常简单，打开游戏之后进入设置栏目，然后在登陆中选择重新登陆，就会让你重新输入账号了，这个时候你就可以选择登陆大号还是小号，就算你绑定了微博或QQ，也可以使用这个方法来切换账号。
　　方法2：先完全的退出游戏中，接下来再重新打开界面选择登陆，在登陆的页面中有两个提示一个是开始游、另一个就是切换账号选择第二个并且将你想要登陆的账号输入进去便可实现，若想换回来重复上述操作即可，是不是很方便。
　　方法3：注销后重新登录，不推荐，因为大家关卡玩到最后好几百关。
　　小编提示：请大家看清楚登陆，最好在游戏前期就把自己的账号，不论是微博，或者QQ登陆，都记清楚，避免以后所带来的不必要的麻烦。
　　————————————————————————————————————————————————
　　上班族闲暇之余必备小游戏，开心消消乐带给你不一样的消除快感
　　全新，高级特效---四连直线+爆炸特效，可构成竖着四排，同时清空！威力很强---四连横线+爆炸特效，横向四排同时清空　　还在等什么，快点点击游戏开始吧！
　　游戏小贴士
　　巧妙利用特效之间的交换，会触发很多神奇的效果！四连直线和横线特效在相邻时，两个互相拖动，两者同时触发，构成十字架。四连直线+爆炸特效，可构成竖着四个横排或竖排，同时清空，威力超强！五连+四连特效，可让全屏所有四连特效相同颜色的宠物，全部化为四连特效，不过横竖方向是随机的。五连+爆炸特效，全屏所有爆炸特效相同颜色的宠物，全部化为爆炸特效。五连+五连，极难出现的第一大特效。两者相邻相互拖动，直接清屏，棋盘上的所有小动物全部消除。这种效果适用于打豆荚，破冰。
最新最快的精华内容 , 您只需百度站内搜一下
如果您有更好的游戏心得与游戏攻略，也可以加入我们的玩家互助QQ群1：，微信公众号：app178-lee参与讨论。
安卓版暂无下载
上一篇：下一篇：
开心消消乐是一款超好玩的休闲消除类游戏，清新可爱的高清画质，玩法简单易上手，轻松滑动手
开心消消乐是一款超好玩的休闲消除类游戏，清新可爱的高清画质，玩法简单易上手，轻松滑动手指即可操作，有惊喜有挑战，165个精彩有趣的游戏关卡，伴随各种不同的障碍，难度逐步升级，挑战你的极限，超萌超可爱的动物形象，是您平常休闲娱乐、打发时间的最佳选择，绝对让您爱不释手!
安卓版暂无下载
手机扫描下载
越狱版暂无下载开心消消乐：选择与腾讯合作的三个理由
&&&&来源：&&&&
&&&&&&字号
原标题：开心消消乐：选择与腾讯合作的三个理由
　　今年ChinaJoy几乎成为了手游的主场，在众多大型重度疯狂吸金当下手游市场，《开心消消乐》这样一款跨屏休闲游戏是如何脱颖而出的？8月1日下午，乐元素高级副总裁徐辉出席开发者论坛并发表“选择，助力飞翔”主题演讲。徐辉表示，乐元素从PC到移动互联网时代的成长与腾讯开放平台的帮助密不可分。腾讯开放平台拥有PC+移动整体的服务体系，能够帮助开发者降低用户获取成本、运营成本，获得盈利能力，因此腾讯开放平台是一个非常适合创业者成长的地方。
　　与腾讯开放平台长期合作 持续发力社交游戏
　　成立于2009年的乐元素如今在全球社交游戏圈已经有了不小的名气，旗下共拥有5个游戏工作室，4个游戏发行中心。据徐辉介绍，乐元素从一开始就与腾讯结缘，并保持了长期的合作伙伴关系。
　　合作初期，乐元素的多款网页游戏、社交游戏上线腾讯开放平台均取得了不错的成绩，其中《开心泡泡猫》在PC平台的最高峰值用户数曾一度飙升至4700万。随着移动互联网浪潮愈演愈烈，乐元素意识到移动端的重要性，开始尝试页游和手游的跨屏融合，《开心消消乐》就是其中的典型代表。可以说，这次《开心消消乐》的合作推广其实正是基于前期合作基础的延续。
　　腾讯社交关系链接入《开心消消乐》用户活跃度提升60%
　　在谈及与腾讯保持长期稳定合作关系的缘由时，徐辉坦言最看重的正是腾讯强大的社交能力。细化下来无非三个主要因素：关系链、腾讯云服务及微下载能力。徐辉认为，腾讯的PC和移动端的流量互通非常有价值，目前来讲国内没有其他平台有这样的能力。今年五月份《开心消消乐》接入腾讯关系链，社交关系链、云服务，PC Push、PC下载等充足的社交“养料”让这款休闲小游戏的用户活跃度提升高达60%。究其原因，徐辉认为正是用户的攀比心理起到了关键作用。
　　基于腾讯关系链，不同平台游戏用户有机整合，可以与自己的好友、甚至是全体玩家进行PK。用户还可以将分数竞赛的结果公布在其他社交平台上，在社交圈内被好友所熟知和进行炫耀，虐心竞争更激起用户持续玩游戏的欲望。
　　关系链的接入极大地提升了《开心消消乐》产品本身的社交属性，结合跨屏技术实现同一游戏在PC、手机、平板等多个终端设备同步使用，满足用户在不同环境条件下能随时享受游戏带来的乐趣，成功持续引起产品在社交平台之间的话题性，配合瞄准用户攀比心理的营销手法，最大程度的增强了用户粘性。
　　携手腾讯开放平台 把握移动时代新机遇
　　徐辉认为，移动互联浪潮下，游戏行业正面临着基于社交关系链的跨屏时代。PC端和移动端的有机融合也为社交游戏带来了全新机遇。
　　现在，已经有越来越多的优质应用接入腾讯开放平台，体验开放环境下的全新合作模式。对游戏开发者来说，尽早把握腾讯开放平台这一发展新机遇，站在时代趋势前端，才能做出长盛不衰的好产品。
　　“一个开放平台对开发者的价值体现在哪里？”徐辉认为主要体现在三点，一是如何更低成本的获取用户；第二点是如何降低运营等各方面的成本；第三点是如何更方便的挣钱。而在这三点上，腾讯开放平台有这独特的优势。
　　徐辉表示，腾讯PC+移动整体的衔接对开发者的价值巨大，其次在国内所有的开放平台里面腾讯开放平台对开发者的服务是做得最前面的，此外，腾讯开放平台提供了灵活的开放方式和各项开放能力，使得开发者总有办法在腾讯的开放平台上赚到钱。
(责编：杨虞波罗、吴佶)
善意回帖，理性发言!
使用其他账号登录:
恭喜你，发表成功!
请牢记你的用户名:，密码:,立即进入修改密码。
s后自动返回
5s后自动返回
恭喜你，发表成功!
5s后自动返回
最新评论热门评论
游戏新闻|精彩博客
24小时排行&|&
人 民 网 版 权 所 有 ，未 经 书 面 授 权 禁 止 使 用
Copyright &
by .cn all rights reserved
人 民 网 版 权 所 有 ，未 经 书 面 授 权 禁 止 使 用
Copyright &
by .cn. all rights reserved[][][][][][][][][][][][]
最新文章热门文章
[][][][][]
[][][][][][][][][][][][]
新手必看: 过关攻略: 游戏进阶:
07-2207-2107-2107-08
今日推荐有奖活动
《新神曲》不仅有扣人心弦的微操战斗，其丰富多变的玩法更让人热血沸腾。
全民枪战变态女妖怎么打，变态女妖打法技巧分享。在全民枪战中小BOSS变态女妖还是非常难打的，下面小编就说下打法技巧，希望大家能够喜欢。
《刀塔传奇》新资料片“决战圣域”上线，公测周年送豪礼！
一年一度的游戏顶级盛会——China Joy即将上演。
开服时间游戏名称服务器名下载号08-05 10:00731新区08-05 11:00一骑当千08-07 10:00732新区08-08 10:00733新区08-09 10:00734新区08-09 11:00铜皮铁骨08-10 10:00735新区08-12 10:00736新区08-13 11:00霸气冲天08-14 10:00737新区08-15 10:00738新区08-16 10:00739新区
日期名称状态下载号
07-28公测07-28封测07-28内测07-29内测07-31公测08-01内测08-03公测08-03公测08-07封测08-12公测08-14公测
12345678910
日期名称号
08-0308-0308-0308-0308-0308-0308-0308-0308-03
京ICP备号-1 京公网安备 86