data-protection

游戏存档文件是如何被篡改的 — 存储数据保护的实践

OZero Security Team· 约5分钟阅读

"Gold: 9,999,999"——一个文本编辑器就能摧毁游戏经济

数百小时的测试游戏,精心设计的应用内购买模型——但如果攻击者打开本地设备上的存档文件并在几分钟内修改货币值,这一切都毫无意义。如果客户端在没有任何交叉验证的情况下信任磁盘上存储的数据,整个游戏经济体系都悬挂在一个文件上。

存档文件篡改特别危险的是,它不需要高级的黑客技能或特殊工具。一个通用文本编辑器或已root设备上的文件浏览器往往就足够了。由此产生的"超级账号"可以严重破坏多人游戏的公平性,并消除合法玩家进行购买的动力。

本文将解析存档文件实际上是如何被篡改的,为什么仅靠客户端加密无法完全解决问题,以及多层防御在实践中如何构建。

存档文件的存储位置与格式

在Unity游戏中,已保存游戏数据的物理路径因操作系统平台而异,但始终存在于设备文件系统的某个位置。

  • Android: 通常在/data/data/<package-name>/files/或外部存储中。标准设备上访问受限,但在已root设备和模拟器上可自由访问。
  • iOS: 存储在应用沙盒内,但在越狱设备或通过第三方备份提取工具可访问。
  • PC(Windows): 保存为%AppData%\LocalLow\<CompanyName>\<GameName>\下的文件,或记录在注册表(PlayerPrefs)中。用户无需任何权限提升即可访问和修改。

格式因游戏设计而异——JSON、XML、二进制、Unity内置PlayerPrefs等。如果数据以未加密或未混淆的明文存储,攻击者一眼就能理解结构并修改任意值。

实际的篡改流程

从攻击者的角度来看,操控存档数据的过程简单直观:

定位存档文件 ──> 提取并分析 ──> 修改值 ──> 覆写 ──> 重新启动游戏

第一步:文件提取与结构分析 从已root/越狱的移动设备或PC提取目标文件。JSON或XML文件用任何基本文本编辑器即可立即阅读。即使是二进制格式,也可以通过十六进制编辑器,追踪特定值变化时哪些字节发生变化来逆向推断——通常能快速定位目标字段的偏移量。

第二步:修改值与标志 理解结构后,攻击者将"gold": 1200改为"gold": 9999999,膨胀角色等级和属性,并将未拥有的付费道具的所有权标志改为true

第三步:覆写并重新启动 将修改后的文件写回原始系统路径并启动游戏。如果客户端对文件没有完整性检查,篡改后的值会直接加载到内存并立即生效。

为什么简单的客户端加密不够

"为什么不直接加密存档文件,让它无法在文本编辑器中阅读?"——这是自然的第一反应,客户端加密确实在一定程度上提高了门槛。但作为单独的措施,它有一个关键的结构性弱点。

加密和解密文件所需的密钥和逻辑必须存在于游戏客户端可执行文件的某个地方。正如IL2CPP逆向工程文章中所讨论的,攻击者可以通过global-metadata.dat转储或运行时分析相对容易地提取解密函数和硬编码的加密密钥。一旦密钥暴露,加密就只是不方便的编码而已。

即使加密完全有效,一旦客户端在运行时解密数据并将其加载到内存中,内存篡改工具就可以直接修改值。简单加密是"难以打开的锁"——它不是防止数据操控的完整验证机制。

有效的存档数据保护策略

保护玩家数据需要提高客户端侧门槛,同时确保单点验证失败不会导致整个系统崩溃。需要多层(纵深防御)方法。

(1) 服务器端权威(Source of Truth) 核心货币、高级货币、付费道具购买历史、多人游戏排名等敏感数据,绝不能仅基于客户端声明而信任。将服务器数据库作为权威信息来源,当出现差异时,让服务器值获胜。本地存档文件理想情况下应仅作为减少网络延迟的UI显示缓存。

(2) 文件完整性验证的HMAC签名 对于支持离线游戏且需要本地存档的游戏,使用存储在服务器上或某种方式保护的秘密密钥,为存档数据附加HMAC(基于哈希的消息认证码)签名。客户端加载数据时验证签名——任何哪怕只修改了一个字节的文件都会被拒绝并标记为损坏。

(3) 云存档(Steam Cloud等)兼容的安全设计 一个常见错误是仅从设备特定的硬件信息(Hardware ID)生成加密密钥,以防止本地文件被未授权复制或篡改。这提高了安全性,但完全破坏了在台式机和Steam Deck之间切换的玩家的云存档同步。在支持合法跨设备同步的同时保护存档数据,需要一种将完整性验证绑定到用户账号(如Steam ID)而非设备的灵活加密架构。

(4) 文件级保护与运行时内存篡改检测的配合 即使数据通过文件级保护(加密+HMAC)安全加载,在运行时操控内存值的尝试仍将继续。核心数字字段必须在Native层实时监控,以额外抑制文件加载后发生的内存覆写攻击。

(5) 服务器端合理性检查 服务器应逻辑验证可获得的最大货币、每小时增长上限、任务奖励范围等阈值。任何产生远超正常范围货币的会话都应被视为异常信号并采取行动。

OZero Security在Native C++层提供强大的运行时内存值篡改检测和环境完整性验证,防止篡改数据影响游戏体验。同时支持灵活的安全架构,在不牺牲文件完整性的情况下在Steam Cloud等跨设备环境中安全同步存档数据。

总结

  • 在可直接访问文件系统的环境(已root设备、PC)中,存档文件可以轻松以文本形式修改——无需高级黑客技能。
  • 数据加密至关重要,但由于密钥暴露风险和运行时内存篡改,作为单独防御是不够的。
  • 对于主要离线游戏,HMAC签名必须严格阻止文件篡改——且为了与云同步兼容,识别方案必须基于账号。
  • 将磁盘级保护与运行时内存检测结合,覆盖文件篡改后的二次操控路径,才能使防御真正有效。

游戏存档文件是玩家投入的时间和精力的记录。精心设计和验证,使信任不成为漏洞,是安全游戏服务的基础。

通过OZero Security的运行时检测抑制存档文件篡改与货币操控。

产品介绍集成手册

相关阅读