18-游戏安全性评测(王岳)

《18-游戏安全性评测(王岳)》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、网络游戏安全性评测Preparedby:王岳(火翼[CCG])Date:Sept-8-2010Update:Sept-14-2010©Allrightsreserved目录面临威胁测试目的测试方法使用工具测试准备测试内容评测文档整理安全开发,防患未然面临威胁盗号木马外挂虚假信息测试目的找出安全性隐患提供建议解决方案规避可能的运营风险测试方法逆向工程(ReverseEngineering,RE)及基于逆向工程的各种手段使用各种通用修改工具进行测试Why?使用工具调试器(OD,Windbg,SoftI

2、ce)静态分析工具(IDA)网络数据分析工具(WPE,WSockExpert,WireShark)针对性的自编工具测试准备什么是壳主程序脱壳第三方壳(Themida,VMP)私壳测试准备第三方保护系统去除第三方保护系统nProtectHackShieldXTrap测试准备nProtect简介优点缺点测试准备HackShield简介优点缺点测试准备XTrap简介优点缺点测试准备游戏自身的保护防硬件断点内存数据加密函数返回地址检查测试准备游戏协议分析数据包结构测试准备游戏协

3、议分析加密算法对称算法非对称算法测试内容标准测试内容MMOG(Massivelymultiplayeronlinegame)休闲游戏MMOG测试内容登录系统登录逻辑(有效性验证、同步问题)登录数据包含信息MMOG测试内容移动系统瞬移加速穿墙MMOG测试内容战斗系统无敌攻击加速秒杀MMOG测试内容交易系统复制强制交易商店NPCMMOG测试内容聊天系统,邮件系统虚假信息关键字过滤(客户端、服务器端)MMOG测试内容资源文件系统脚本图形图像数据MMOG测试内容溢出客户端溢出所有可接受

4、用户输入位置资源加载系统网络数据处理服务端溢出网络数据处理资源加载系统(客户端资源与服务端资源不匹配)休闲游戏测试内容基本内容(与MMOG类似)区分游戏类型,确定本地判断部分通用修改工具测试CheatEngine(原版,修改版),金山游侠网络数据分析工具(WireShark…)AntiRootkit工具(IceSword,XueTr)评测文档整理测试内容游戏基本信息使用保护系统说明测试方法及过程测试结论已发现问题建议解决方案综合风险评估安全开发,防患未然策划期开发期运营期Clicktoeditcom

5、panyslogan.