不可能被封的“終極外掛”如何被封？DMA 還能死灰復(fù)燃嗎？丨圖文

這是掛哥玩游戲的畫(huà)面：透視、自瞄、裝備顯示、敵人位置顯示，全圖物資顯示，一應(yīng)俱全。

這些“靈視拉滿”的開(kāi)掛畫(huà)面，是柴司小陳在某“公益科技輔助技術(shù)”交流群里臥底時(shí)，看到的帶貨視頻。貨的名字叫DMA——一類號(hào)稱“不可能被封”的外掛。

誒等等等等！現(xiàn)在DMA外掛不是照樣會(huì)被封嗎？

啊確實(shí)！在去年游戲反作弊系統(tǒng)升級(jí)之后，很多使用 DMA 的掛哥喜提 10 年小黑屋。

但...就在我們寫(xiě)稿的時(shí)候，技術(shù)交流群里的掛哥們還在熱烈地討論分享；群公告里一連串外掛程序的版本更新，比游戲更新都要快；甚至不久前，還因?yàn)椤胺捶醋鞅住钡碾y度增大，狠狠漲了一波價(jià)......

所以，“不可能被封”的DMA外掛是如何被封的？它還會(huì)“死灰復(fù)燃”嗎？這一期的外掛攻防戰(zhàn)，開(kāi)始吧！

視頻版

↓↓ 看完這個(gè)視頻就知道了 ↓↓

↑↑ 信我，真的超級(jí)好看 ↑↑

圖文版

和很多傳統(tǒng)外掛以及“風(fēng)靈月影”等單機(jī)修改器一樣，DMA 外掛本質(zhì)上是一種“內(nèi)存掛”：也就是通過(guò)訪問(wèn)電腦內(nèi)存，來(lái)讀取或修改游戲的后臺(tái)數(shù)據(jù)。

比如在 FPS 游戲中，服務(wù)器會(huì)把其他玩家的坐標(biāo)、動(dòng)作發(fā)到你的游戲客戶端，暫放在內(nèi)存里，由游戲引擎來(lái)判斷要不要顯示：

如果這個(gè)人就在你面前，那么就顯示出來(lái)；如果中間隔了一堵墻，那就不顯示。

而“內(nèi)存掛”可以繞過(guò)客戶端，直接讀取內(nèi)存上的暫存數(shù)據(jù)，進(jìn)行計(jì)算。這樣哪怕中間有墻，也可以實(shí)現(xiàn)“透視”。

為了降低服務(wù)器壓力，提升游戲效率，很多游戲里的角色位置、血量、傷害、彈藥變化等數(shù)據(jù)，都是由玩家的電腦在本地計(jì)算的，服務(wù)器只負(fù)責(zé)關(guān)鍵數(shù)據(jù)的處理和檢查。

這么一來(lái)，就讓內(nèi)存掛有了充分的表演空間：

比如只要叮一下，遍歷玩家列表，就能在吃雞時(shí)知道周圍還蹲了多少人；

叮一下，篩選物品列表，就能在“搜打撤”時(shí)瞬間鎖定“大紅”位置；

再叮一下，修改武器參數(shù)，就能把初始步槍魔改成無(wú)后座、無(wú)散布、無(wú)限連射的機(jī)關(guān)狙擊槍……

不過(guò)，在 PVP 網(wǎng)游里，服務(wù)器可以隨時(shí)檢查本地?cái)?shù)據(jù)狀態(tài)。如果一個(gè)角色攻擊力突然從 5 變成了9999，那服務(wù)器一查就知道你開(kāi)了掛。

所以很多網(wǎng)游外掛，都只提供“透視”、“開(kāi)圖”等信息獲取類的作弊功能。只讀內(nèi)存不改內(nèi)存，以提高作弊的隱蔽性。

但再隱蔽，也會(huì)留下蛛絲馬跡。

如今很多游戲，都自帶本地的反作弊系統(tǒng)。比如騰訊的 ACE，就會(huì)在游戲啟動(dòng)時(shí)加載一個(gè)內(nèi)核驅(qū)動(dòng)程序，專門(mén)監(jiān)控和阻止可疑程序非法訪問(wèn)內(nèi)存，同時(shí)不斷掃描電腦上的異常行為，定位、隔離冒頭的外掛程序。

可以說(shuō)，只要外掛和游戲運(yùn)行在同一臺(tái)設(shè)備上，就不可能完全隱身。

那，如果不運(yùn)行在同一臺(tái)設(shè)備上呢？不就能躲過(guò)反作弊系統(tǒng)的“追殺”了嗎？

恭喜你，完全抓住了 DMA 外掛的精髓：DMA外掛，是運(yùn)行在另外一臺(tái)設(shè)備上的。

它看起來(lái)就是這樣的一塊硬件電路板，往 PCIe 接口上一插，外掛就真的“掛”在了電腦外面。所以 DMA 外掛是一種“硬件掛”，開(kāi) DMA 的老哥也被“親切地”稱呼為“板子哥”。

由于附身于另一套硬件，所以 DMA 外掛不用像傳統(tǒng)外掛那樣以軟件形式訪問(wèn)內(nèi)存，而是可以把自己偽裝成網(wǎng)卡、聲卡等設(shè)備，以更合法可信的方式“抄”走數(shù)據(jù)。

因?yàn)橥ㄟ^(guò)物理接口訪問(wèn)，訪問(wèn)權(quán)限更高，所以能繞開(kāi)系統(tǒng)層的監(jiān)控；

因?yàn)闆](méi)有在原操作系統(tǒng)上安裝軟件，所以能躲過(guò)反作弊掃描；

因?yàn)樗械淖鞅讛?shù)據(jù)都跑在外部設(shè)備上，所以原設(shè)備不會(huì)留下任何異常行為和作弊痕跡。

于是，一款理論上永遠(yuǎn)不會(huì)被封的“終極外掛”，誕生了。

從 2020 年提出構(gòu)想，到 2023 年 DMA 席卷各大主流游戲，網(wǎng)吧機(jī)房，越來(lái)越多的“法外狂徒”加入了“插板宗門(mén)”。

當(dāng)合法玩家苦練游戲技術(shù)的時(shí)候，他們琢磨的卻是如何把掛開(kāi)得更有“技術(shù)”：

比如最入門(mén)的開(kāi)掛套餐，是架設(shè)一臺(tái)運(yùn)行游戲的“主機(jī)”，和一臺(tái)運(yùn)行DMA外掛的“副機(jī)”，再給副機(jī)配臺(tái)顯示器，就可以看到墻后所有玩家的人物骨骼；

稍微進(jìn)階點(diǎn)的掛哥，會(huì)搞一臺(tái)這樣的融合器。它能把游戲畫(huà)面和外掛解析出的火柴人疊加顯示，模擬出“透視”效果；

再進(jìn)階一點(diǎn)的掛哥，還會(huì)搞這樣一臺(tái)KMbox，俗稱“鍵鼠盒”。它能把“自瞄”外掛也運(yùn)行在外部硬件上，然后模擬成正常鼠標(biāo)，重新接入游戲，實(shí)現(xiàn)槍槍爆頭；

更猖狂的掛哥，還會(huì)開(kāi)上“掛車”，帶上老板，把一塊板子的透視畫(huà)面分享給全隊(duì)，借此牟利，美其名曰“護(hù)航”；“坐掛車”的老板不需要自己開(kāi)掛，掏錢就能享受透視效果，就算掛哥被封，也和自己無(wú)關(guān)。

就這樣，在很長(zhǎng)一段時(shí)間內(nèi)，游戲官方拿 DMA 外掛幾乎毫無(wú)辦法。

使用“鍵鼠盒”的作弊行為，勉強(qiáng)還能通過(guò)鼠標(biāo)移動(dòng)軌跡是否自然來(lái)檢測(cè)；但如果掛哥只開(kāi)透視和裝備物資顯示，那真的沒(méi)辦法。

無(wú)論是排查 DMA 固件特征、分析硬件內(nèi)存訪問(wèn)模式，以及最樸素的，靠玩家游戲內(nèi)舉報(bào)來(lái)間接判斷，都最多只能抓住個(gè)別掛哥，不光談不上有效治理，甚至還會(huì)誤封正常玩家。

而且外掛的“研發(fā)團(tuán)隊(duì)”也沒(méi)閑著：他們一會(huì)兒改進(jìn)偽裝方案，升級(jí)成1人1固件；一會(huì)兒擴(kuò)大偽裝范圍，從偽裝網(wǎng)卡，升級(jí)成偽裝聲卡、顯卡、磁盤(pán)、打印機(jī)。

幾番切磋下來(lái)，DMA 外掛的排查難度反而越來(lái)越高，“不可能被封”的名號(hào)越打越響。幾乎所有板子哥都堅(jiān)信，屬于 DMA 的“黑暗王朝”將永不落幕……

然后，它就被封了。

2025 年 7 月，DMA 外掛的重災(zāi)區(qū)“三角洲行動(dòng)”突然上線了一套“CPU虛擬化”功能，號(hào)稱能在“原理層面阻斷 DMA使用”。

它確實(shí)做到了：光是在 9 月初的一周內(nèi)，它就揪出了 6.7 萬(wàn)人次的 DMA 作弊，36 萬(wàn)人次的“坐掛車”行為，一口氣封禁了 6 萬(wàn)多臺(tái)設(shè)備。一網(wǎng)下去全是魚(yú)。

更好笑的是，從去年八九月開(kāi)始，如果你打開(kāi)某海鮮交易平臺(tái)，輸入關(guān)鍵詞“不能玩”，那么下面就會(huì)出現(xiàn)一串“不能玩三角洲的主板、固態(tài)、顯卡”。成色微瑕、價(jià)格美麗，至于為什么不能玩三角洲，這你別問(wèn)~

而這次 DMA 外掛之所以“馬失前蹄”，是因?yàn)橛螒驈S商啟用了一項(xiàng)全新的反作弊功能：IOMMU。

它的原理并不難理解：它可以通過(guò) Intel 的 VT-D 等功能，強(qiáng)制把內(nèi)存切割成一個(gè)個(gè)小區(qū)域，并規(guī)定每個(gè)硬件只能訪問(wèn)特定區(qū)域：網(wǎng)卡就只能訪問(wèn)網(wǎng)絡(luò)相關(guān)數(shù)據(jù)，顯卡就只能訪問(wèn)圖像方面數(shù)據(jù)。如果一張網(wǎng)卡試圖“跨界”讀取圖像區(qū)域，那肯定不是什么正經(jīng)網(wǎng)卡，可以判定真身為 DMA 外掛。

如今像《三角洲行動(dòng)》、《無(wú)畏契約》等許多游戲，無(wú)論是用 Intel 還是 AMD 處理器，都會(huì)啟動(dòng)時(shí)強(qiáng)制開(kāi)啟 IOMMU 功能。只要發(fā)現(xiàn) DMA 外掛，賬號(hào)連同設(shè)備就會(huì)統(tǒng)統(tǒng)被 ban，10 年之內(nèi)，就算更換登錄設(shè)備和游戲賬號(hào)，也無(wú)法重新進(jìn)入游戲。

到此為止，DMA 外掛不會(huì)被封的神話，已經(jīng)徹底破碎了。

不過(guò).......它并沒(méi)有死透：

比如在某些視頻平臺(tái)里輸入“VTD”，你就能看到許多“專注技術(shù)交流”、“無(wú)商業(yè)性質(zhì)”，但是旁邊偏偏留了一串神秘?cái)?shù)字的 “DMA過(guò)V教學(xué)” 視頻。

所謂“過(guò)V”，就是想辦法跳過(guò) VT-D 啟動(dòng)，讓游戲在沒(méi)有 IOMMU 保護(hù)的狀態(tài)下運(yùn)行，再接入 DMA 外掛。

或者也可以不跳過(guò) VT-D，而是想辦法和 IOMMU 拼速度，搶先手，趕在反作弊系統(tǒng)初始化完成之前，潛入作弊程序、注入代碼。

為了避免硬件被 ban 徹底作廢，一些黑產(chǎn)分子還會(huì)偽造 DMA 硬件的機(jī)器碼。每次被封，都能立刻換一套馬甲重新作案。

還有一些運(yùn)氣差的朋友會(huì)被這種操作誤傷：有人在購(gòu)買全新設(shè)備時(shí)，不幸撞上了這些被隨機(jī)刷出來(lái)的“黑機(jī)器碼”，導(dǎo)致全新的電腦、干凈的賬號(hào)卻被判定為開(kāi)掛，無(wú)法登陸游戲。

目前來(lái)看，隨著預(yù)啟動(dòng)保護(hù)、人臉驗(yàn)證、數(shù)據(jù)加密等等反作弊手段的升級(jí)，DMA 外掛確實(shí)已經(jīng)得到了明顯控制。

可以說(shuō)，世上并不存在“不可能被封”的外掛。但，也不存在能查出所有掛的反作弊系統(tǒng)。DMA 外掛仍有死灰復(fù)燃的機(jī)會(huì)，而且這些“公益科技輔助技術(shù)”群里，也可能會(huì)煉出新的魂器。作弊和反作弊的貓鼠游戲，會(huì)一直進(jìn)行下去。

最后，如果你希望世界多一點(diǎn)公平正義，那可以跟小陳一樣，動(dòng)手點(diǎn)點(diǎn)舉報(bào)，共建公平誠(chéng)信的游戲環(huán)境，加入到反掛的偉大事業(yè)中來(lái)。

下期見(jiàn)！