APP应用加固实战案例:贪玩蓝月
“我是渣渣辉,是兄弟就砍我!”
众所周知,《贪玩蓝月》是一款网页游戏,自2016年发行以来,其代言人也是大咖云集,除了古天乐外,山鸡哥陈小春、刘烨、张家辉、古力娜扎、冯小刚、张天爱、谢霆锋、吴孟达、郭富城、朱茵、孙红雷、迈克尔·詹姆斯·欧文……等都曾代言过这款游戏。
此外,因《贪玩蓝月》是一款传奇类游戏,主打情怀牌,也将用户精准定位在了35~40 岁的消费人群。
百度指数的数据显示,搜索“页游”的人群中,30—39岁之间的占到55%,男性占到85%;江苏、广东、浙江是搜索前三的省份,人群多分布在东部沿海、经济相对发达的地区。而网页游戏开服数据中心(以下简称“开服数据中心”)统计同样显示:经济条件较好的中年男性,是此类游戏付费的主流人群。
微博、知乎等平台上网友们分享的案例,也证实了这些数据。在知乎“为什么类似贪玩蓝月、传奇霸业的页游能做到盈利,并且请得起数名明星代言”问题下,有自称曾做过类似页游的网友透露,其服务的核心客户里很多都是中年土豪,甚至有的玩家甚至能每日充值2万元,持续了近一年。
且贪玩蓝月的玩法极其简单:
不用人工操作,自动做任务、刷怪、升级战力,遇到人就自动 PK ,谁战力高、装备好谁赢。
如果战力不够高、装备不够好也没关系,只要充钱就能有超高战力、顶级装备。
大咖代言,精准投放用户,玩法简单,一度让《贪玩蓝月》掌握了“财富密码”。
据《贪玩蓝月》官网公开数据,2016年12月 贪玩页游平台月流水突破7000万,其中《贪玩蓝月》单款游戏月流水突破6500万,高居联运平台之首;2017年《贪玩蓝月》单款产品日流水突破400万,月流水突破6000万;2017年10月 《贪玩蓝月》累计流水突破7亿。
另据统计,《贪玩蓝月》2017年的年流水收入就已经超过了 10 亿,吸金速度堪比印钞。
但同其他游戏一样,《贪玩蓝月》也面临着诸多安全问题。
政策收紧,攻击风险增多。
Newzoo 在2021年7月发布的全球游戏市场报告中指出,2021年的全球游戏玩家数量已经迈过了30亿大关,且有望在未来几年迎来持续增长。报告中强调全球有28亿用户在移动设备上玩游戏。报告预测2021年全球游戏市场将获得1758亿美元收入,其中移动游戏市场的收入将增长4.4%至907亿美元,占总收入的一半以上,预计2024年市场规模将达到2187亿。
数据来源:Newzoo
如此庞大的市场份额,自然也成为了黑灰产的首要攻击对象。
公开数据显示,自2014年以来,流量攻击持续走高。游戏外挂、账号被盗也深深地危害到用户的数据安全。
据统计,有65%的用户在游戏体验过程中遭受过游戏账号被盗、数据泄露、游戏安全漏洞、外挂等网络安全问题。调研中超4成的游戏用户认为国内游戏产品在网络数据安全层面的保障令人堪忧。
同时,巨大的市场空间也让游戏的种类越多越多,随之而来的是市场的强监管。
2021年4月26日,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》(以下简称《规定》),对移动互联网应用程序个人信息处理活动作出专门规定。
其中,《规定》以“知情同意”和“最小必要”两项个人信息保护基本原则。强调游戏App公司在游戏相关隐私保护设计之时的权限索取必须克制。如果安装过程中向用户申请那些信息,则需要明确说明。
在政策监管与游戏安全风险的双重因素下,也让贪玩蓝月开始思考如何保护游戏用户的安全使用体验。
App 加固不外乎是最好的选择。
顶象App 加固为贪玩蓝月保驾护航
对贪玩蓝月而言,其面临的重要风险有两个:
一是游戏合规要求,二是防破解、防外挂。
顶象App 加固恰好都能满足这些要求。
App加固 ,简单说来就是对App代码逻辑的一种保护。原理是将应用文件进行某种形式的转换,包括不限于隐藏,混淆,加密等操作,进一步保护软件的利益不受损坏。iOS 和 Android 的实现有所区别,但是核心逻辑和思路,大体是一致的。总之先了解破解的实现原理,再有针对性地加固APP,才能够在一定程度上保证不被分析、破解。
针对贪玩蓝月的破解外挂问题,应从以下几方面入手:
1、字符串加密:将App的源代码中敏感字符串做随机加密处理。在运行时进行对字符串动态解密,这样就可以避免攻击者,通过利用工具进行静态逆向分析发现关键字符串信息,从而快速定位到应用中的业务代码。
2、控制流平坦化:将so文件中C\C++代码中的执行控制逻辑变换为平坦的控制逻辑,从抽象语法树层面进行深度混淆,使得其在常用反编译工具中,极大的降低反编译逆向代码的可读性,增加逆向代码的分析难度。
3、符号混淆:对App应用中的类名称、函数名称进行混淆操作,增大直接用工具分析难度,让反编译逆向工具,无法直接通过类名称、函数名称进行快速定位App的核心代码。
4、防动态调试:对App应用进行防调试保护、检测到配置防动态调试功能的类、方法、函数被IDA逆向工具进行动态调试时候,App应用进行自动退出运行操作,有利于保护App应用直接被动态调试,从而提高攻防对抗的门槛。
5、防动态注入:对App应用进行防动态注入保护,当利用zygote或ptrace技术进行App应用的注入操作时,App应用进行自动退出运行操作,以此进行防御攻击方对App应用的非法操作,避免动态分析执行代码,从而达到动态保护App应用安全。
6、HOOK检测:对App进行防HOOK保护,检测到配置防hook保护功能的类名、方法名、函数名在被frida、xposed等工具动态hook时候,App进行自动退出操作,以此进行提高防御App安全性,保护App不被注入攻击,抵御恶意侵入。
7、代码段检验:对App应用中的代码段进行完整性校验,发现代码段被篡改,App应用进行自动退出运行,防止App应用中的代码逻辑被篡改,以此进行动态保护App的源代码安全性。
通过App加固技术不仅可以提高对逆向后的代码阅读难度、而且有利于降低App被破解、插入病毒、木马、后门程序等恶意代码的风险,同时也能增强用户隐私数据、交易数据的安全性。
通过App加固技术,贪玩蓝月不仅可以更好应对国家对App安全合规监管检测的标准,也给玩家的使用体验带来了进一步的提升。
APP应用加固实战案例:贪玩蓝月相关推荐
- APP应用加固实战案例:公牛
随着移动互联网的发展,App 使用的普遍性已不言而喻.但与此同时,App 的风险也成为企业的关注重点之一. 据<全国移动APP风险监测评估报告>显示,对约 318 万款安卓版本应用宝进行风 ...
- APP应用加固实战案例:飞凡汽车
汽车App集展示.体验.交互.交易和远程服务于一身,已成为智能汽车的一部分.日前,飞凡汽车与顶象达成合作,为飞凡汽车App提供安全加固服务,为用户提供全方位的安全保障. 1.用户眼里的"宝藏 ...
- 《贪玩蓝月》年入10亿?背后的玩法也太“流氓”了
本文来源:运营研究社 ID:U_quan 作者:仵静文 说到贪玩蓝月,相信大家第一个想到的一定是这段魔性的广告: 大嘎好,我系轱天乐,我四渣渣辉,探挽懒月,介四里没有挽过的船新版本,只需体验三番钟,里 ...
- 是兄弟就来砍我!“贪玩蓝月”母公司实控人被捕:曾是中国最年轻富豪
"大扎好,我系渣渣辉,探挽懒月,介四里没有挽过的船新版本,挤需体验三番钟,里造会干我一样,爱象节款游戏." 图片来源于网络 虽然没有玩过"贪玩蓝月",但你一定听 ...
- 「雅礼集训 2018 Day10」贪玩蓝月
大渣好,我四渣渣辉,点一下,玩一年,装备不花一分钱,说话战斗,罩杯回收,找一基友,极限到手. 0 元 VIP,3 天满级,一秒一刀 999,装备全爆 666,广告做得再牛,不如进服遛一遛! 古天乐绿了 ...
- 鸿蒙之隙 可以参加几次,贪玩蓝月封魔谷活动攻略 每天可以参加几次
贪玩蓝月贪玩蓝月中角色如何快速升级一直是玩家们很头痛的问题,今天小编来给大家介绍一种常见的快速升级方法日常活动中的封魔谷活动~ 贪玩蓝月中封魔谷活动是一个角色快速获得经验的途径,任务入口位于盟重省NP ...
- 贪玩蓝月服务器维护需多少时间,贪玩蓝月一般多久合区 | 手游网游页游攻略大全...
发布时间:2018-01-26 在游戏中能增加战力的地方是那些系统呢?现在就为各位玩家来介绍如何提升战力,我们分为三个不同类型的玩家来详细为大家如何去提升战力-- 平民玩家 :相信平民玩家,也冲的起首 ...
- 贪玩蓝月服务器维护需多少时间,贪玩蓝月合区维护一次多久 | 手游网游页游攻略大全...
发布时间:2018-01-26 在游戏中能增加战力的地方是那些系统呢?现在就为各位玩家来介绍如何提升战力,我们分为三个不同类型的玩家来详细为大家如何去提升战力-- 平民玩家 :相信平民玩家,也冲的起首 ...
- #4306. 贪玩蓝月
题目描述 <贪玩蓝月>是目前最火爆的网页游戏.在游戏中每个角色都有若干装备,每件装备有一个特征值 www 和一个战斗力 vvv .在每种特定的情况下,你都要选出特征值的和对 ppp 取模后 ...
最新文章
- 2022 专属程序员的桌面必备单品!
- MongoDb数据库面试整理
- 04-多核多cluster多系统之间缓存一致性概述
- Node提示:error code Z_BUF_ERROR,error error -5,error zlib:unexpected end of file
- bentley 二次开发_Bentley的基本概念
- CSS中文档流之普通流,浮动及定位、浮动特性及清除浮动的方式、定位模式,子绝父相搭配定位方式、z-index层级
- 查看工作组计算机没有服务器,计算机相关:网上邻居问题:当前工作组的服务器列表无法使用...
- oracle undoautotune,Oracle 隐藏参数:_undo_autotune、一个吃力不讨好的活
- setUserVisibleHint-- fragment真正的onResume和onPause方法
- python读取配置文件-configparser
- Linux高性能集群搭建(3)---MPICH2安装测试
- 移动手机病毒编年史(Cabir、Skulls、FakePlayer、HummingBad)
- wilcoxon符号秩检验matlab,符号检验和wilcoxon符号秩检验的区别
- Macbook reset PRAM
- mmkv原理,Android多进程从头讲到尾,成功定级腾讯T3-2
- 数据可视化如何实现?4大基本流程了解一下
- Revit二次开发_显示最近的轴网交点
- 全球及中国造纸行业十四五发展决策及运营能力预测报告2021-2027年
- 土壤水分传感器的工作原理和应用环境
- java实现从url路径中下载pdf文档到本地
热门文章
- LeetCode知识点总结 - 347
- 东北大学计算机考研专业842包括什么,2020年东北大学842《计算机专业基础》考研大纲...
- 射频测试系统|射频信号测试软件NSAT-1000
- web课程设计网页规划与设计(HTML+CSS+JavaScript仿悦世界游戏官网 6个页面)
- python五分制转分数档_五分制绩点换算四分制(5.0绩点计算器在线)
- node mysql timeout_Error: Handshake inactivity timeout in Node.js MYSQL module
- lumen 框架学习
- Android属性ems
- 成功解决python.exe 无法找到程序入口 无法定位程序输入点
- 如何用python找文献_如何高效查找文献、紧跟研究领域热点和前沿?