Перейти к содержанию
Единые правила форума (ЕПФ)
Авторизация  
Подписчики 0
TrollFace

Защита от накрутки денег.

Автор TrollFace, в Мануалы/Уроки

Рекомендуемые сообщения

TrollFace    350

TrollFace
Опубликовано

Здравствуйте, ув.пользователи.

Сегодня хотелось бы разобрать способ защиты от накрутки денег на Вашем игровом сервере.

 

Теория:

Как вы знаете, функция GivePlayerMoney существует для выдачи определенного количества денег. Разберем ее работу подробнее. Данная функция добавляет/отнимает числа от самого текстдрава денег. А функция же GetPlayerMoney возвращает данное значение. Исход из этого: байты могут быть заменены при помощи обычных программ, таких как ArtMoney и т.п.

Что с этим можно сделать?

Заменить байт на ПК пользователя труда не составит, а вот изменить переменную в процессе на сервере (удаленно) практически нереально. Я думаю, понятно, к чему я клоню.

 

Практика:

Создадим массив, который будет хранить кол-во денег отдельно для каждого игрока:

new realmoney[MAX_PLAYERS];

Далее создадим функцию, по которой значение из GetPlayerMoney будет сверяться с переменной realmoney. В случае несоответствия - обнуление и кик:

stock GiveMoneyAntiCheat(playerid, money)
{
if(GetPlayerMoney(playerid) > realmoney[playerid])//сверяем данные
{
//если чит, то:
ResetPlayerMoney(playerid);// обнуляем
GivePlayerMoney(playerid, realmoney[playerid]);//возвращаем
SendClientMessage(playerid, 0xBBBBBBAA, "Вы были кикнуты за попытку накрутки денег.");
Kick(playerid);//кикаем
return 1;
}
else
{
//иначе выдаем все по стандарту:
GivePlayerMoney(playerid, money);
realmoney[playerid] = GetPlayerMoney(playerid);
}
return 1;
}

При дисконнекте игрока проверим деньги. Для этого в OnPlayerDisconnect достаточно поставить проверку и вызвать функцию:

if(GetPlayerMoney(playerid) > realmoney[playerid])
{
GiveMoneyAntiCheat(playerid, PlayerInfo[playerid][pMoney]);
}

Естественно, теперь все GivePlayerMoney нужно заменить на GiveMoneyAntiCheat.

Спасибо.

  • Like 8

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Komaroff 71    154

Komaroff 71
Опубликовано

О,вот так сюрприз!Сегодня хотел написать подобную,а тут.. =)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SHOROOP    613

SHOROOP
Опубликовано

Хорошо. Но можно лучше.

Гораздо удобнее устанавливать количество денег своей функцией, чем чекать по предложенному варианту.

А писать в серверную переменную значение из GetPlayerMoney - вообще не есть хорошо, смысла в этом нет. Теоретически возможен вариант, что игрок успеет в памяти изменить значение денег ПОСЛЕ проверки на количество, но ДО записи в переменную нового значения.

  • Like 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

TrollFace    350

TrollFace
Опубликовано

Хорошо. Но можно лучше.

Гораздо удобнее устанавливать количество денег своей функцией, чем чекать по предложенному варианту.

А писать в серверную переменную значение из GetPlayerMoney - вообще не есть хорошо, смысла в этом нет. Теоретически возможен вариант, что игрок успеет в памяти изменить значение денег ПОСЛЕ проверки на количество, но ДО записи в переменную нового значения.

Но исключительно теоретически. Сотая доля секунды ушла бы на обработку GiveMoneyAntiCheat

И даже если заменит, то та же функция вызывается из дисконнекта.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SHOROOP    613

SHOROOP
Опубликовано

 

Хорошо. Но можно лучше.

Гораздо удобнее устанавливать количество денег своей функцией, чем чекать по предложенному варианту.

А писать в серверную переменную значение из GetPlayerMoney - вообще не есть хорошо, смысла в этом нет. Теоретически возможен вариант, что игрок успеет в памяти изменить значение денег ПОСЛЕ проверки на количество, но ДО записи в переменную нового значения.

Но исключительно теоретически. Сотая доля секунды ушла бы на обработку GiveMoneyAntiCheat

И даже если заменит, то та же функция вызывается из дисконнекта.

 

Да и практический шанс есть.

Конкретно если успеть подменить данные в оперативке между:

 

GivePlayerMoney(playerid, money);

и

realmoney[playerid] = GetPlayerMoney(playerid);
в realmoney[playerid] уже запишутся неверные данные.
И проверка в дисконнекте не поможет - переменная уже хранит в себе хакнутое значение.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Red_Devils    368

Red_Devils
Опубликовано

[Offtop]Рассказали прям тут как можно обойти анти-чит. :D

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

meL    724

meL
Опубликовано

[Offtop]Рассказали прям тут как можно обойти анти-чит. :D

Тем самым рассказали разработчикам как защититься.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Rici    158

Rici
Опубликовано

Вроде норм 

RHihJCSXe8o.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

TrollFace    350

TrollFace
Опубликовано

 

 

Хорошо. Но можно лучше.

Гораздо удобнее устанавливать количество денег своей функцией, чем чекать по предложенному варианту.

А писать в серверную переменную значение из GetPlayerMoney - вообще не есть хорошо, смысла в этом нет. Теоретически возможен вариант, что игрок успеет в памяти изменить значение денег ПОСЛЕ проверки на количество, но ДО записи в переменную нового значения.

Но исключительно теоретически. Сотая доля секунды ушла бы на обработку GiveMoneyAntiCheat

И даже если заменит, то та же функция вызывается из дисконнекта.

 

Да и практический шанс есть.

Конкретно если успеть подменить данные в оперативке между:

GivePlayerMoney(playerid, money);

и

realmoney[playerid] = GetPlayerMoney(playerid);
в realmoney[playerid] уже запишутся неверные данные.
И проверка в дисконнекте не поможет - переменная уже хранит в себе хакнутое значение.

 

Это-то понятно, но вот как программист сможет провернуть подобное, имея минимум доступа?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

#Kot    440

#Kot
Опубликовано

Полезно.Автору поставлю спасибо.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

SHOROOP    613

SHOROOP
Опубликовано

 

 

 

Хорошо. Но можно лучше.

Гораздо удобнее устанавливать количество денег своей функцией, чем чекать по предложенному варианту.

А писать в серверную переменную значение из GetPlayerMoney - вообще не есть хорошо, смысла в этом нет. Теоретически возможен вариант, что игрок успеет в памяти изменить значение денег ПОСЛЕ проверки на количество, но ДО записи в переменную нового значения.

Но исключительно теоретически. Сотая доля секунды ушла бы на обработку GiveMoneyAntiCheat

И даже если заменит, то та же функция вызывается из дисконнекта.

 

Да и практический шанс есть.

Конкретно если успеть подменить данные в оперативке между:

GivePlayerMoney(playerid, money);

и

realmoney[playerid] = GetPlayerMoney(playerid);
в realmoney[playerid] уже запишутся неверные данные.
И проверка в дисконнекте не поможет - переменная уже хранит в себе хакнутое значение.

 

Это-то понятно, но вот как программист сможет провернуть подобное, имея минимум доступа?

 

Так о том и речь. Доступ к серверу не нужен.

Если есть уязвимость и есть шанс ее использовать - дыру закрывать надо.

Тут уязвимое место именно в присвоении переменной значения из GetPlayerMoney, которое, по факту, можно подменить на стороне клиента.

По-хорошему - надо наоборот. Сначала писать новое значение в realmoney и уже потом ResetPlayerMoney(playerid)+GivePlayerMoney(playerid, realmoney[playerid]). А GetPlayerMoney не использовать вообще как потенциально уязвимую.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  
Подписчики 0
Перейти к списку тем Мануалы/Уроки

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

  Я принимаю