据观察，近年来游戏黑灰产攻击角度多样化趋势显著，面临工作室、定制注入挂、模拟点击挂、破解版、内存修改挂等多方面安全问题。

据FairGuard数据统计，在游戏面临的众多安全风险中，「内存修改」攻击占比约为11%，主要实现方式为：获取高权限后使用内存修改器对游戏内存进行篡改。

游戏安全风险占比" height="970" src="https://i-blog.csdnimg.cn/img_convert/ffaf2af56b61b9f53b3efd36be526fa1.png" width="1920" />

FairGuard数据统计：游戏安全风险占比

内存修改器的本质是具备内存查找、修改功能的通用或者自定义作弊工具。如市面上最常见的常见的GameGuardian 修改器。本文我们将通过实际案例对GameGuardian 修改器进行分析并提出解决方案。

GameGuardian(俗称GG修改器)，可提供手动的内存搜索、修改功能。如下图演示，通过GG修改器对游戏金币这一数据进行多次搜索，确定金币内存地址，再对其进行篡改，实现了无限金币的作弊功能。

通过反复搜索定位内存修改金币数量

此外，GG修改器还支持脚本调用，通过脚本可实现定位、修改内存，达到自动破解的效果，这些脚本也是许多游戏外挂传播的主要方式。

GG修改器调用lua脚本实现作弊功能

GG修改器除了本身的内存搜索、修改，还具有反检测的功能，用来防止被游戏检测到。

GG修改器防检测功能演示

据观察，一些修改器变种甚至会通过盗用其他应用的包名来躲避检测。无疑增加了检测难度，如果游戏安全产品对修改器的研究不够深入，在检测的过程中就会出现大量报错的情况。

某修改器变种盗用了微信电话本的包名

由于进行内存修改需要提供root权限，GG修改器常运行虚拟机、虚拟框架等环境。在获取root权限后，可以使用magisk实现对游戏隐藏进程，来躲避游戏检测，让传统的检测手段失效，对抗难度大幅度提升。

游戏隐藏进程" height="1110" src="https://i-blog.csdnimg.cn/img_convert/b9e7248978cf798e2a96359366b51e03.png" width="2600" />

GG修改器通过magisk实现对游戏隐藏进程

针对GG修改器及其变种带来的内存修改问题，FairGuard定制了专门的应对策略，该方案已接入多款热门游戏并验证了出色的保护能力。

反内存修改

针对游戏面临的内存修改风险，FairGuard研发了行为检测方案，可对内存修改行为进行精准识别，通杀各类修改器外挂及其变种，做到有效防护。

安全环境检测

采用底层检测手段，精准识别游戏运行环境，如：越狱、ROOT、虚拟机、虚拟框架、云手机等，并提供个性化闪退策略。

Magisk 专项检测

FairGuard独家检测方案，在 Magisk 所有隐藏选项全开的情况下，依旧可以精准识别并进行闪退等操作。