知己知彼！游戏公司防止Wg程序的方法

Love葬我

团灭、封号、追封，这些难题是游戏打金工作室一直试图解决的。他们利用Wg程序在游戏中大量赚取金币，这也使得他们成为了游戏公司持续打击的目标。这场较量从未间断，这种隐蔽的斗争未来还将持续。那么，对于游戏打金者来说，他们又该如何与游戏公司展开对抗呢？今日在浏览某个程序员的社区论坛时，我发现了一篇探讨“游戏企业如何抵御游戏Wg程序的入侵”的文章，特此分享给大家，以便大家了解对手，或许能为各位提供一些防范封禁的启示。

原文：在游戏研发中如何有效防止游戏Wg程序

总体而言，虽然道高一尺魔高一丈，Wg的完全根除几无可能，我们只能采取多样化的策略来有效遏制大部分游戏中的Wg行为，具体可以从以下几个角度进行思考：

1，协议层加密

以Flash客户端为例，在实现与后端的数据交互过程中，可以运用AMF协议。尽管AMF协议同样建立在HTTP协议之上，但它对传输的数据进行了加密处理。然而，AMF协议本身是透明的，因此这种方法仅能对那些仅限于使用HTTPWatch、Firebug等工具查看明文HTTP数据包的初级用户产生一定效果。若要进一步提升安全性，可以考虑创建自定义的加密协议。因为客户端必须了解解密的方法，因此它自身也必须确保加密措施得当。至于Flash格式本身的加密与解密，这又是一个相当复杂的议题，这里就不再详细讨论了。

2，checksum校验

在客户端发送数据的过程中，会附加一段校验码，即checksum。服务器端会运用特定的算法对这一校验码进行验证。若验证结果不符，则会反馈错误信息。与之前所述相同，一旦客户端被破解，checksum的校验算法也就随之暴露。鉴于此，我们必须重视客户端的安全性，同时，校验码的生成算法也应当定期更新。

3，通过任务策划来防治

Wg主要承担了替代人工执行一些重复性任务的角色，使得玩家即便不亲自操作电脑，也能在游戏中获得收益。Wg的引入往往与利益挂钩，而最佳的治理策略是引导而非压制，故此，我们在产品设计上可以采取一些措施来减少Wg的影响。

减少因长时间执行重复性任务所获得的回报，亦或是进行同一类型任务时，其收益会随着时间推移而逐渐降低。

游戏内置了若干与Wg相似的功能，例如自动击杀怪物等辅助性功能。

4，定期检查数据。

借助排行榜等统计数据，我们能够识别出异常数据，从而判断是否存在Wg现象。

5，深入内部，了解Wg行情。

这是客服人员的职责所在，与技术领域关联并不紧密，然而，它偶尔也能带来出乎意料的成效。

要有效遏制Wg，首要任务是充分认识Wg，明确其核心功能及其运作机制，接着根据Wg的普遍特性编写捕捉脚本。基于个人经验，以下几点大致概括了相关要点：

Wg的另一个显著特征是其周期性显著，通常设定为每XX秒执行一次特定操作。若Wg呈现规律性周期，则存在一种简便的识别方法：在每次相同请求时，于session中记录当前时间与上一次请求的时间点，若多次请求中此时间差保持恒定，则可基本确定其为Wg。然而，Wg目前表现出较高的智能性，其周期并非固定，例如，若周期设定为1分钟，浮动值设定为5秒，则两次请求的周期将在55秒至65秒之间波动。此外，浮动值亦可通过手动调整。因此，上述方法在当前情况下已不再适用。这种方法适用于基础级的Wg。

Wg需定期监控数据变化，因此频繁发起请求，其请求数量远超普通玩家。服务器端可安装计数器，对每位玩家每小时的请求量进行统计。每小时筛选出请求量超出平均数N倍（N值可根据需求调整）的玩家，并将这些玩家标记为“疑似Wg”。这同样适用于对单个特定请求进行统计，例如针对getUserInfo这类查询性质的请求。

配置Wg钓鱼钩：Wg的核心特点在于“自动化”，即依照既定的模拟指令来模拟客户端的行为。我们可以在Wg日常使用频率较高的功能请求中，特定时段内加入特定的参数。服务器端会根据是否存在该参数或参数值是否准确来识别该请求是否由Wg发起，并据此将玩家标记为“疑似Wg”。此方法之特性在于，钓钩参数——我称之为“钓饵”——其存在与否并不固定，Wg作者往往难以获取这些钓饵数据，破解难度较高。然而，由于客户端与服务器端存在时间同步问题，因此存在一定的误抓风险。

在处理Wg时，绝不可一察觉到问题就立即将其剔除或弹出验证码，这样做会让Wg察觉到你的处理模式。正确的做法是采用记录与评分相结合的方法，对每次被怀疑为Wg的行为进行记录，并根据疑似程度为每种行为设定不同的分数。随后，根据累积的总分数设立一个评分标准，对于超过此标准的，则采取相应的运营措施进行处理，无论是封禁账号还是不定期弹出验证码均可。总体而言，核心宗旨在于“非即时性”原则，此原则旨在让Wg作者难以察觉到我们的捕捉策略，进而提升Wg的升级与更新难度。

游戏设计相关的Wg功能同样存在相应的检测方法，然而，正如俗语所说，“魔高一尺道高一丈”，Wg的功能逐渐趋向于客户端，而原生客户端一旦升级，也可能被错误地识别为Wg。因此，我认为，在抓取Wg的过程中，识别请求的来源是一项极具挑战的任务，这也是游戏中Wg难以处理的主要原因之一。

在先前的工作经历中，我结识了许多专注于游戏行业的Wg从业者，同时了解到有些Wg公司的年销售额能够高达1200万元人民币。

在巨额商业利润的背后，Wg团队展现出卓越的技术实力，他们通过深入解析汇编语言来破解网络协议加密，这种做法已屡见不鲜。从某种程度上讲，仅凭技术手段与Wg团队抗衡，很难取得胜利。因此，在各位所提及的技术方案之上，我们还需制定一系列策略。

Wg作为与游戏产品紧密相连的衍生品，目前普遍设定了非常清晰的商业目标，其主要的盈利方式包括：

1，通过收取玩家的月卡费用进行收费；

2，通过出售给游戏打金工作室进行收费。

我们的游戏设计初衷在于有效遏制游戏工作室通过非法手段获取金币的行为，从而使得这一功能失去其第二个用途。这一措施属于策划与运维部门的职责范围，而不同类型的游戏会有各自的应对策略，具体方法在此不予详述。

与Wg斗争，首先要确认几个关键的前提：

Wg的营收高度依赖于一个关键条件，即该游戏的持续可用性；如果游戏频繁无法使用，便难以确保拥有付费的玩家。

Wg的盈利水平与Wg自身的升级复杂度、维护复杂度以及开发投入呈负相关，故而，在我们提升Wg开发成本的同时，他们更可能转向寻求那些难度较低的产品。

3，Wg团队一般小而精干，换言之，个人水平高，但人数有限；

4，Wg通常会降低用户的使用门槛并且尽量的做自动化。

5，Wg可能会利用游戏漏洞。

所以，与Wg斗争的有效办法有以下几类：

采用疲劳战术，通过持续推出小规模更新，对通讯加密的密钥进行变更，迫使Wg的制作者必须不断进行破解。随着破解能力的差异，相应的Wg也会出现持续时间不一的失效现象。

内挂法在游戏设计中对Wg的多数功能进行了整合，特别适合用于强调玩家间对抗的多人在线角色扮演游戏。

针对那些长时间重复单调游戏流程的玩家，实施强制输入验证码的措施，此方法在技术实现上较为简单，对小规模Wg团队而言是有效的（而大规模的Wg团队可能会研发识别算法，甚至动用客服人员通过人工方式应对）。

若判定为游戏打金工作室所使用的Wg，将对其执行强制降低掉率的措施，以此使得其盈利变得异常困难。

5，举报法：鼓励玩家举报Wg玩家，判断后加以惩罚。

老A体悟：尽管这篇关于“如何避免游戏Wg程序”的文章距今已有三年，但我仍坚信其中的许多原理和逻辑依然适用。在此，我也向各位朋友提出建议，既然我们持续致力于研究如何防范封禁，那么除了规避行为检测之外，Wg本身的作用同样不可忽视。在闲暇之余，不妨多浏览一些程序论坛，尽管大多数人可能并不懂得编程！