腾讯游戏上线反作弊预启动模式，DMA外挂有了克星

外挂与反外挂，无疑是一个贯穿了整个游戏行业历史的“主线剧情”。即便不提玩家喜闻乐见的金山游侠、风灵月影，游戏厂商闻之色变的外挂则主要集中在网络游戏领域，从古早的《石器时代》、《冒险岛》，到《绝地求生》、《CS2》，这类破坏游戏公平性、毁灭游戏环境的外挂，在过去二十多年间也成为了大量游戏的“掘墓人”。

为了延长游戏的生命力，厂商在打击外挂上可谓是八仙过海各显神通。比如腾讯游戏就在日前宣布推出新的反作弊措施——反作弊预启动模式，《穿越火线》和《无畏契约》将成为首批支持该功能的游戏。根据腾讯游戏方面的说法，反作弊预启动模式旨在为玩家提供一个更安全、可靠的游戏环境，大幅降低作弊或账号安全风险。

不同于以往的腾讯游戏安全(Anti-Cheat Expert）方案，反作弊预启动模式的主要变化集中在对玩家的保护从游戏启动扩展到了整个操作系统的运行周期。据悉，反作弊预启动模式会跟随Windows操作系统开机启动，并且是在操作系统启动阶段就开始加载，而不是与游戏一同启动。

为什么腾讯游戏要推出反作弊预启动模式？当然是因为现有的反外挂、反作弊手段已经落后。传统的游戏外挂是以软件形式为主，它们利用了游戏厂商为降低服务器一端的计算压力，将大量计算放在玩家侧客户端的特点，渗透到客户端与服务器端的数据通讯中。

针对网络数据链路上的不同节点，就诞生了修改客户端内存信息的内存挂，以及重发、篡改同步信息的封包挂。根据外挂的实现原理，反调试、ROOT检测、反HOOK、虚拟化、完整性验证、反静态/动态编码操作也成为了目前反外挂工具的基本功能。

以大家熟悉的腾讯TenProtect为例，它就采取内核驱动接管系统级别的权限，实现了禁止一切调试器、扫描硬盘、隐藏游戏进程以拒绝第三方访问等效果。如果抛开TenProtect在驱动层直接hack系统导致卡死、崩溃、报错等一系列不稳定现象，单纯在反作弊技术层面，它确实可以说是名列前茅。

遗憾的是如今外挂软件也有了天敌，硬件级别的外挂开始出现。最近几年，一种名为DMA的外挂席卷了FPS网游，从腾讯的《CF》、《无畏契约》到valve的《CS2》，再到EA的《APEX》和动视暴雪的《使命召唤》都遭遇了毒手，而BettlEye、VAC，以及TenProtect都对此都束手无策。

DMA外挂利用Direct memory access（直接访问内存技术）直接读取和修改玩家的内存数据，然后将数据导出到其他设备上显示。DMA的特点是它不需要CPU的干预、而直接服务于外设，就导致了有黑产通过FPGA（现场可编程门阵列）开发板刷仿真固件，让反作弊软件认为搭载了外挂程序的硬件是正常的声卡、网卡、硬盘。

DMA外挂的强大之处，就在于反作弊软件只能覆盖一台开启了该功能的设备，对于运行外挂程序的FPGA开发板无法实现“长臂管辖”，因为运行外挂的FPGA开发板通常都是插在另一台电脑上的。开挂者往往是一台电脑正常游戏，另一台电脑则用于显示对局中其他玩家的位置信息。

但游戏是运行在操作系统中，自然无法通过操作系统暴露的接口验证操作系统到底是什么，而操作系统运行在硬件之上，也无法通过硬件暴露的接口验证硬件到底是什么，这就是DMA外挂的棘手之处。所以DMA外挂完全有条件伪装到无法被任何技术手段检测到，因为运行游戏的这台电脑确实没有开外挂。

然而DMA外挂也有一个命门，那就是它毕竟不是Windows操作系统的一部分，所以也做不到开机自动配置运行环境。简单来说，DMA外挂需要在游戏开启前完成配置，而腾讯此次推出的反作弊预启动模式，就是针对DMA外挂这唯一的一处缺陷。当反外挂程序与Windows一起启动，也就意味着电脑的桌面刚显示出来，程序就已经在后台运行了。

这时候如果开挂玩家启动DMA外挂，自然就会被抓住马脚。不过反作弊预启动模式并不是没有代价，即使腾讯的游戏并没有开启，不间断地扫描硬盘也会带来不可忽视的性能开销，所以电脑变卡几乎是必然。至于说这一点缺陷是不是必要之恶，就得看玩家们是怎么想的了。

本文来自微信公众号“三易生活”（ID：IT-3eLife），作者：三易菌，36氪经授权发布。