外挂，原指一切用来破坏游戏程序正常游戏数据和逻辑的工具或破解版。比如可以修改游戏内存数据的修改器，又比如可以修改网络数据包的抓包工具。这类外挂或多或少会影响游戏的内存数据、文件数据、网络数据，甚至代码逻辑。

但随着外挂市场的发展，外挂衍生出其它恶意变种。这类外挂不会影响游戏数据和逻辑，例如脱机挂、模拟器和脚本精灵。

脱机挂是外挂作者逆向游戏协议后独立开发的非法客户端，能让玩家节约很多时间多开刷游戏；模拟器能让玩家在PC上玩移动游戏，在FPS等游戏上能获得更好的操作环境，从而帮助玩家变相碾压对手；脚本精灵则是能录制模拟玩家行为，对游戏事件进行响应，实现自动刷金币经验等功能。但这几类新兴外挂有个共同特性：即是欺瞒游戏服务器，欺瞒客户端、设备和操作者。

外挂的分类及实现原理

无论端手游，市面上已经出现过大量外挂样本，根据其特征可整理为下图所示的分类图。

总的来说，外挂可分为两大类：辅助和破解版，这两类外挂的核心区别在于：是否需要依赖游戏客户端。辅助类外挂是需要结合游戏客户端运行的；而破解版则是可独立运行的非法客户端。

辅助类外挂

辅助类外挂需要依赖游戏客户端，不能独自生效。根据其作用范围可以再划分为两个小类：专用插件和通用工具。

实现原理:

辅助类外挂是基于游戏客户端，动态修改游戏数据类型外挂。

专用插件类外挂

专用插件类外挂，作用范围只针对特定游戏，属于定制化外挂。其存在形式依据平台不同而有所区别，在Android下以SO形式，而在IOS下以dylib形式。其内部集成了多款Android手游功能插件，针对不同手游注入不同SO实现外挂功能。

类似的IOS上也出现过相关辅助，针对多款热门手游注入不同Dylib实现无敌、秒怪功能功能。这类专用插件外挂，外挂功能较为灵活，一般都可随时关闭或者开启。

实现原理：

专用插件类外挂，属于定制化外挂，每个外挂只针对一款游戏。这类外挂的实现顾名思义，是插件形式：利用注入技术将功能模块注入到游戏进程空间中，并执行功能模块入口函数。外挂功能模块在被注入到游戏进程后，会执行HOOK操作实现外挂功能。

在底层汇编，HOOK操作可以理解为在特定代码地址，增加个跳转指令跳转到外挂作者自定义函数中。

因此，专用辅助可以很灵活修改游戏代码逻辑，通过多次回调怪物扣血函数实现秒怪、通过屏蔽玩家扣血函数实现无敌等。

通用工具

顾名思义，通用工具是针对所有游戏，其支持的是通用功能。

实现原理：

该类外挂工具，平台或者游戏引擎相关，跟具体游戏无关，实现的是跨游戏的一类外挂功能。

内存修改器

用来搜索修改游戏内存数据。在Android平台上较为主流。玩家一般根据游戏面板中的精确数据，利用修改器搜索相应数值，再根据数值变化规律多次搜索排除定位到相应属性在内存中的位置，直接修改成夸张效果值。

后期也有各种变种，比如模糊搜索，仅通过数据变大变小来搜索；加密搜索，带有反简单加密（异或加密等）功能搜索。这类修改器外挂，常见外挂功能是改人物属性实现秒怪、无敌等。

 

实现原理：

内存修改器外挂功能本质是实现对指定进程内存数据的读写。其实现技术主要体现在如何读写游戏内存数据上。

变速器

变速器外挂主要作用是加快游戏节奏，节省玩家时间；或者减慢游戏节奏，减低操作难度。其影响游戏帧更新频率，可实现加速过关、减速躲技能等外挂功能。常见外挂功能均是在游戏对局中，利用变速器加速功能，主角和怪物AI的攻击节奏加快，能快速结束战斗。

实现原理：

通常游戏需要以帧为单位播放画面，播放画面过程中计算每帧动画播放所需时间（也可理解为两个画面切换的间隔时间），游戏需要调用C库函数获取系统时间以供计算每帧更新

按键精灵

模拟用户按键。简单版本是直接录制一段固定按键序列，然后循环模拟该按键序列。后续发展成可识别图像触发特定按键。常见于刷部分等重复性操作较多的手游。比如某飞机游戏中，可利用按键精灵随机移动飞机刷副本攒取金币经验。

实现原理：

调用系统API，发送特定操作序列，模拟用户按键。这类外挂功能的实现，和系统相关性较大，因为其实现是通过相应系统API发送操作事件模拟全局按键。

模拟器

让玩家可在PC上运行手游。这类工具是在PC端运行。由于PC有较好的鼠标、键盘操作手感，这类外挂工具用在FPS或格斗手游上。FPS上能快速滑动视角瞄准开枪，格斗手游上能风骚走位释放连招等。

实现原理：

PC上的模拟器，其核心实现，还是基于VirtualBox模拟Android系统，可直接模拟x86架构的Android系统。

抓包工具

用于拦截游戏的上下行数据包，可篡改、重发、丢弃。针对没有进行协议加密的游戏，这类外挂工具的危害较大。比如某格斗游戏中曾出现下发人物属性数据包是明文的现象，被玩家发现后玩家直接修改相应属性成较大值即实现了秒怪功能。

该工具主要是利用游戏协议方面的漏洞，一方面是协议内容是否加密好；另一方面是协议设计是否存在逻辑漏洞（重发、丢弃数据包是否会出现外挂功能）。

实现原理：

本质是网络数据包编辑器。一类实现方式是基于硬件，比如让网卡处于混乱模式，即可拦截数据包；另一类则是通过HOOK，针对send和recv类函数进行拦截，获得网络数据包。

破解版

破解版类外挂本质上是一个非法客户端。常见能分为两类：脱机挂和小修小改的破解版。

脱机挂，是外挂作者基于游戏协议的分析，自己开发的一个游戏客户端。通常情况下，这类客户端都可用来多开直接刷副本等功能，收益巨大。工作室对这类外挂的需求较大。

受损破解版，这里采用受损来定义是因为此类破解版是基于正版客户端修修改改实现的。其功能相对辅助类外挂灵活性不够，一般是一类破解版固定开启一类外挂功能，游戏过程中无法关闭。

实现原理:

破解版是通过事先静态修改后的独立的游戏客户端。前面提到的一种脱机挂，在端游上盛行一时。外挂作者前期逆向分析了游戏的网络协议后，可自己编写独立三方客户端。这类外挂技术难度较高，主要体现在逆向分析游戏协议上面。

另一类则是对游戏客户端修修改改后实现的游戏破解版。可以根据修改的客户端数据不同分类：逻辑代码和数据资源。

分析调试，这类实现效果和替换法一样，但其前期是通过静态分析或者动态调试分析确认资源的作用和加密方式。

本期内容专业、全面地分析了外挂的种类、功能及实现原理，后续我们也会将进一步向大家解析腾讯游戏安全是如何针对性地打击这些外挂，欢迎持续关注我们！