技術領域

本發明涉及計算機網絡安全領域，尤其涉及一種對網游密碼進行保護的裝置和方法。

背景技術

目前網絡游戲盜號的嚴重，很多網游公司成立了自己的安全部門，但收效甚微，使網游公司力不從心。目前盜取網游的盜號木馬要盜取對應網游的游戲帳號信息的話，必須注入到網游進程的進程空間內，進行特征匹配查找到要修改碼(patch)的位置或根據其指定的位置進行patch。這里patch的位置就是網游在登陸時向網游服務端發送數據過程中的一段，或驗證用戶輸入的游戲帳號名或密碼格式是否有效。盜號木馬通過分析網游找到要patch的位置，使用inline?hook技術跳轉至盜號木馬自身程序的處理函數獲取游戲帳號名和密碼。需要指出的是：盜號木馬會作多個inline?hook來盜取網游里的多個信息，如帳號、密碼、人物名稱、等級等等。本發明中主要討論的是關于盜取密碼的操作，因為，如果能夠防止密碼被盜取，那么賬戶也就不會被盜取，關于該賬戶的信息也就得到了保障。下面結合附圖1解釋一下上面所述的盜號木馬盜取網游密碼的原理。假設網游的正常工作流程是第一、輸入密碼；第二、驗證密碼；第三、密碼發送至游戲服務器。盜號木馬會在用戶輸入完密碼后使進程跳轉到盜號木馬程序，在該盜號木馬程序中保存改密碼，然后再跳轉到網游的流程中(即第二步、第三步)。該過程所對應的內存進程空間的指令代碼如圖1中左側框中所示，其中“5?6?7?8”代碼段即為盜號木馬要path的位置，path到該位置后，盜號木馬以一個跳轉指令取代該段代碼，跳轉到木馬程序的進程(圖1中的右側框)，先執行“B?B?B?B”段代碼，盜取密碼，然后在執行原來的“5?6?7?8”代碼段，返回網游主流程。盜號木馬盜取其他網游信息的原理與此基本相似。

目前其它產品針對盜號木馬作得防御有兩種(特征和加載)：

1、獲取盜號木馬文件，提取文件特征用于傳統殺毒軟件查殺。但如果盜號木馬如針對性的作加花指令、加殼、源代碼級修改這些操作的話，可輕易躲避殺毒軟件的查殺。網絡上有專門的工具，新手可輕松上手。這步只可以做到我有、我殺，我無、你過。

2、拒絕某些系統加載項的寫入，如appinit_dlls。但現在有盜號木馬是通過感染系統文件或替換系統文件實現加載的。做到不需要任何注冊表項達到自加載的目的。

以上兩種防御方式只要被過，盜號木馬就有機會盜取網游的信息。

盜號木馬要使用inline?hook修改網游流程至木馬程序必須修改內存的屬性，使其要patch位置處的內存屬性為可寫狀態，而設置內存可寫屬性必須調用VIrtualProtectEx函數。因此，簡單說木馬盜取網游密碼的流程是，參見圖2，S1，盜號木馬注入網游主程序；S2，調用VIrtualProtectEx函數設置內存可寫屬性，S3，Inline?hook修改網游流程值木馬處理函數盜取網游數據，S4，盜號木馬盜取密碼成功。本發明網游密碼保護裝置和方法將根據盜號木馬的盜號流程和原理提供有效的網游密碼保護。

發明內容

本發明的第一目的是克服現有技術中的不足，提供一種可有效保護網游密碼的網游密碼保護裝置。

本發明的第二目的是提供一種可有效保護網游密碼的網游密碼保護方法。

為了實現上述第一目的，采用以下技術方案：網游密碼保護裝置，包括NtProtectVirtualMemory函數攔截模塊，將調用系統原始NtProtectVirtualMemory函數的操作攔截；特征匹配模塊，查找修改內存可寫屬性的文件所patch到的內存空間位置，查看該位置附近指定區域空間內是否有預先設定好的特征指令；內存屬性修改要求重置模塊，將原來要求修改內存屬性為“可寫”改為要求修改內存屬性為“不可寫”。

為了實現上述第二目的，采用以下技術方案：網游密碼保護方法，攔截調用系統原始NtProtectVirtualMemory函數的操作，查找修改內存可寫屬性的文件所patch到的內存空間位置，查看該位置附近指定區域空間內是否有預先設定好的特征指令；如果找到該特征指令，將原來要求修改內存屬性為“可寫”改為要求修改內存屬性為“不可寫”。