WO2022237120A1

WO2022237120A1 - 游戏应用的抓帧防御方法及装置、存储介质、计算机设备

Info

Publication number: WO2022237120A1
Application number: PCT/CN2021/132545
Authority: WO
Inventors: 郑直
Original assignee: 上海完美时空软件有限公司
Priority date: 2021-05-14
Filing date: 2021-11-23
Publication date: 2022-11-17
Also published as: CN113209630A; CN113209630B

Abstract

本发明公开了一种游戏应用的抓帧防御方法及装置、存储介质、计算机设备，该方法包括：响应于所述游戏应用的启动信号，运行所述游戏应用；启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，其中，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；在识别出存在所述抓帧进程时，终止所述游戏应用运行。本发明有助于实现对游戏抓帧的防御，提高了破解游戏资源以及游戏程序的门槛，降低了游戏资源被恶意窃取的可能性，提高了游戏的安全性。

Description

游戏应用的抓帧防御方法及装置、存储介质、计算机设备

交叉引用

本申请要求于2021年5月14日提交、申请号为202110527687.4，发明名称为“游戏应用的抓帧防御方法及装置、存储介质、计算机设备”的中国专利申请的优先权，其全部内容通过引用合并于本申请中。

技术领域

本发明涉及计算机技术领域，尤其是涉及到一种游戏应用的抓帧防御方法及装置、存储介质、计算机设备。

背景技术

玩家在体验游戏时，能够看到游戏中的动态画面，动态画面其实也是由一张一张的静态的画面组成的，一张一张的静态的画面连续播放时看起来就是运动的了，这就是视频，每一张静态的画面在视频里就叫一帧，抓帧的意思就是抓取视频中某一帧画面绘制时用到的所有数据资源并保存下来。

目前，很多不良游戏开发商通过抓帧工具对一些热门游戏进行抓帧，从而对游戏资源、游戏程序、渲染流程等进行破解，利用抓取的图片对游戏场景模型、游戏角色模型等进行模仿、抄袭，以实现仿制其他厂商游戏、恶意制作游戏漫画等不良目的。若能够检测出对游戏应用的抓帧行为，从而阻止对游戏的抓帧行为，将有助于游戏开发商保护其游戏不被抄袭、仿制，提高游戏破解门槛。

发明内容

有鉴于此，本发明提供了一种游戏应用的抓帧防御方法及装置、存储介质、计算机设备，有助于对游戏应用的抓帧行为进行识别以及阻止，从而达到保护游戏的目的。

根据本发明实施例的一个方面，提供了一种游戏应用的抓帧防御方法，包括：响应于所述游戏应用的启动信号，运行所述游戏应用；启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，其中，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；在识别出存在所述抓帧进程时，终止所述游戏应用运行。

根据本发明实施例的另一个方面，提供了一种游戏应用的抓帧防御装置，包括：游戏启动模块，用于响应于所述游戏应用的启动信号，运行所述游戏应用；抓帧检测模块，用于启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，其中，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；抓帧防御模块，用于在识别出存在所述抓帧进程时，终止所述游戏应用运行。

依据本发明实施例的又一个方面，提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述游戏应用的抓帧防御方法的步骤。。

依据本发明实施例的再一个方面，提供了一种计算机设备，包括存储介质、处理器及存储在存储器上的计算机程序，所述处理器执行所述计算机程序时实现上述游戏应用的抓帧防御方法的步骤

依据本发明实施例的再一个方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述游戏应用的抓帧防御方法的步骤。

本发明的有益效果为：根据本发明一些实施例的一种游戏应用的抓帧防御方法及装置、存储介质、计算机设备，游戏应用启动运行后，同时启动抓帧进程检测程序，通过抓帧进程检测程序对预设抓帧监控目录下的进程运行信息进行分析，以识别是否存在抓帧软件注入、对调试器的反调试、特定类型的钩子、函数注入等方式的抓帧进程，并在识别出存在抓帧进程时，终止游戏应用运行，避免抓帧进程持续对游戏应用进行抓帧。本发明实施例在游戏应用运行的同时启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息可以对多种类型的抓帧行为进行识别，并及时终止游戏应用运行，实现对游戏抓帧的防御，提高了破解游戏资源以及游戏程序的门槛，降低了游戏资源被恶意窃取的可能性，提高了游戏的安全性。

附图说明

通过阅读下文优选实施方式的详细描述，本发明的上述及各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。在附图中：

图1示意性地示出了根据本发明实施例的一种游戏应用的抓帧防御方法的流程示意图；

图2示意性地示出了根据本发明实施例的另一种游戏应用的抓帧防御方法的流程示意图；

图3示意性地示出了根据本发明实施例的一种游戏应用的抓帧防御装置的结构示意图；

图4示意性地示出了可以实现根据本发明的游戏应用的抓帧防御方法的计算机设备；

图5示意性地示出了实现根据本发明的方法的计算机程序产品的框图。

具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。以下描述仅为说明本发明的基本原理而并非对其进行限制。

根据本发明的实施例的一种游戏应用的抓帧防御方法，如图1所示，该方法可包括：

步骤101，响应于所述游戏应用的启动信号，运行所述游戏应用；

步骤102，启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，其中，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；

步骤103，在识别出存在所述抓帧进程时，终止所述游戏应用运行。

本发明实施例主要应用于运行游戏应用的客户端设备中，客户端可以为智能手机、平板电脑等智能电子设备，以智能手机为例，玩家在手机中启动游戏应用，游戏应用开始运行之后，同时启动预先编译好的抓帧进程检测程序通过对预设抓帧监控目录下的进程运行信息进行分析。在一些实施方式中，预设抓帧监控目录可以包括/proc/self/maps目录，识别是否存在抓帧进程与游戏应用同时运行，并在识别出抓帧进程时终止游戏进程，以防止抓帧进程进行游戏抓帧，增强对抓帧的防御。在具体应用场景中，抓帧进程检测程序可以包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序等，各抓帧进程检测程序可实现对不同抓帧手段的检测。在一些实施方式中，一些抓帧软件是通过将自身注入到游戏进程中实现对游戏的抓帧，这类抓帧软件是将一个so库文件(so库是指linux的动态链接库)注入到游戏进程中，因此可以通过抓帧软件注入检测程序检测一些特定的so库文件是否存在注入，例如RenderDoc(RenderDoc是可用于执行单帧采集并进行检查的standalone开源图形调试器)会注入一个名为libVkLayer_GLES_RenderDoc.so的文件，而Snapdragon profiler(Snapdragon Profiler是一款可在Windows，Mac和Linux平台上运行的分析软件，它通过USB连接Android设备，SnapdragonProfiler可用于直接通过硬件层面抓取游戏资源，即便是加了密的游戏资源也可以通过该软件抓取出来)会注入一个名为libq3dtools_esx.so的文件，还有一些抓帧软件是通过对调试器的编译实现抓帧，可以通过调试器检测程序检测调试器是否存在被反调试的情况，另外还可以通过反钩子注入检测程序检测是否存在通过PLT hook(过程链接表钩子PLT，Procedure Linkage Table，过程链接表)或者intercept-lib(lib拦截器)对调试游戏加钩子，以及通过反函数注入检测程序检测是否存在特定的函数注入。通过上述抓帧进程检测程序可以实现对不同抓帧方式的识别，从而在识别到游戏应用存在抓帧风险时，及时终止游戏运行，以免抓帧软件持续对游戏应用进行抓帧，破解游戏资源、游戏程序、渲染流程等游戏内容，有助于对游戏的保护。

在本发明一些实施方式中，步骤103可以为：在识别出存在所述抓帧进程时，向游戏进程发送结束信号，以终止所述游戏应用运行。在一些实施方式中，结束信号具体可以为SIGKILL，SIGKILL是发送给一个进程来导致它立即终止的信号，当通过抓帧进程检测程序识别出存在抓帧进程时，向游戏进程发送SIGKILL信号，以使游戏应用进程终止。

通过应用本实施例的技术方案，游戏应用启动运行后，同时启动抓帧进程检测程序，通过抓帧进程检测程序对预设抓帧监控目录下的进程运行信息进行分析，以识别是否存在抓帧软件注入、对调试器的反调试、特定类型的钩子、函数注入等方式的抓帧进程，并在识别出存在抓帧进程时，终止游戏应用运行，避免抓帧进程持续对游戏应用进行抓帧。本发明实施例在游戏应用运行的同时启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息可以对多种类型的抓帧行为进行识别，并及时终止游戏应用运行，实现对游戏抓帧的防御，提高了破解游戏资源以及游戏程序的门槛，降低了游戏资源被恶意窃取的可能性，提高了游戏的安全性。

在本发明一些实施方式中，在所述抓帧进程检测程序包括所述抓帧软件注入检测程序的情况下，步骤102可以包括：

步骤102-1，在所述预设抓帧监控目录下通过检测行尾文件名的方式查找是否存在预设类型的抓帧文件，并在检测所述抓帧文件时确定存在所述抓帧进程。

在上述实施方式中，抓帧软件要将自身注入到游戏进程中，因此可以在注入后看到一个so库文件在游戏进程中，例如RenderDoc会注入一个名为libVkLayer_GLES_RenderDoc.so的文件，而Snapdragon profiler会注入一个名为libq3dtools_esx.so的文件。当前进程中的so库有哪些，可以通过读取/proc/self/maps获取。按行读取maps，检测行尾的文件名就可以判定指定的so文件是否存在。因此，本发明实施例具体可以通过定时调用抓帧文件查找函数的方式，通过抓帧文件查找函数在预设抓帧监控目录下查找特定类型的抓帧文件，例如调用FindHatedLib()，从/proc/self/maps中按行查找hated_libs中列出的so文件，找到则通过SIGKILL退出。

在本发明一些实施方式中，在所述抓帧进程检测程序包括调试器检测程序的情况下，步骤102可以包括：

步骤102-2，创建反调试检测进程，通过所述反调试进程在所述预设抓帧监控目录下读取预设反调试字段对应的反调试值，并在所述反调试值不为预设安全值时确定存在所述抓帧进程。

在上述实施方式中，步骤102-1这个方案对于仅能使用官方工具的抓帧者比较有效，对于可以修改RenderDoc源码者则可以通过修改so库文件名来规避这个检测。当调试器调试一个安卓进程时，当前进程可通过访问/proc/self/status中的TracerPid行查看调试进程的反调试值TracerPid，如果没有调试器连接，则TracerPid为0，故可以通过查询TracerPid是否为0来获取当前进程是否被调试。因此，在本发明的一些实施方式中，创建反调试检测进程，并通过反调试检测进程读取预设抓帧监控目录下预设反调试字段即TracerPid行的反调试值TracerPid，并在该值不为预设安全值(一般为0)时确定调试器已被调试，例如通过定时调用上述FindTracer()，从/proc/self/maps中查找TracerPid所在行，并比较其值是否为0，如果不为0则通过SIGKILL退出。对于抓帧工具来说，如果没有调试器的加持，虽然也可以通过改RenderDoc的源码慢慢分析游戏的行为，但是会大大降低分析效率，通过分析TracerPid值进行抓帧防御的性价比很高。

在本发明一些实施方式中，步骤102-2可以包括：创建反调试检测进程，并通过分叉函数将所述反调试检测进程分成父进程和子进程，其中，所述父进程和所述子进程互相进行心跳检测；分别通过所述父进程和所述子进程在所述预设抓帧监控目录下读取所述预设反调试字段对应的反调试值，并在任一进程读取的所述反调试值不为所述预设安全值时结束该进程；当检测到所述任一进程心跳停止时，确定存在所述抓帧进程。

在上述实施方式中，为提高抓帧进程识别效率和可靠性，可以通过分叉函数Fork将反调试检测进程例如FindTracer()分为2个(几乎)完全一样的父进程和子进程，互相监视TracerPid值，父进程或子进程检测到TracerPid值不为0时，即调试器被调试时，结束该父进程或子进程，并且父进程和子进程相互有心跳，如果心跳没有了则表示被调试，通过SIGKILL退出游戏。

在本发明一些实施方式中，在所述抓帧进程检测程序包括所述反钩子注入检测程序的情况下，步骤102可以包括：

步骤102-3，获取预设动态链接库文件打开函数对应的原始地址，以将所述原始地址写入过程链接表中；在所述预设抓帧监控目录下获取内存映像中的过程链接表，并查询所述过程链接表中的所述预设动态链接库文件打开函数所在的表项，确定所述预设动态链接库文件打开函数在内存中的首地址；若所述首地址与所述原始地址不一致，则确定存在所述抓帧进程。

在上述实施方式中，对于不支持GLES Layer的设备，抓帧软件可以通过PLT hook或者intercept-lib对调试游戏加钩子以实现抓帧。无论是PLT hook还是intercept-lib，一开始都要对dlopen使用PLT hook钩子。因此可以通过检测PLThook的方式检测抓帧进程，在本发明的一些实施方式中，通过分析内存中PLT表的预设动态链接库文件打开函数的地址(即首地址)和实际地址(即原始地址)对比来判定预设动态链接库文件打开函数是否被施加了PLT hook。例如，首先通过dlopen/dlsym/dlclose获取dlopen的原始地址，同时也就把dlopen加入到当前so(libdefender.so)的PLT中。在一些实施方式中，dlopen函数以指定模式打开指定的动态连接库文件，并返回一个句柄给调用进程。dlsym的函数原型是void*dlsym(void*handle,const char*symbol)该函数在<dlfcn.h>文件中，handle是由dlopen打开动态链接库后返回的指针，symbol就是要求获取的函数的名称，函数返回值是void*，指向函数的地址。dlclose用于关闭指定句柄的动态链接库。然后通过分析/proc/self/maps获得的当前so在内存中的首地址。在libdefender.so的内存映像中查询PLT表，查找dlopen所在的表项，查看表中的地址和原始地址进行比较，如果不一致，则说明PLT项被修改，此时通过SIGKILL退出。该反函数钩子注入检测程序难于破解，除非修改RenderDoc使其不再使用PLT hook，但是这样改动难度较大，反函数钩子注入检测程序对于抓帧进程的识别率较高，该方法对抗RenderDoc具有显著效果。

在本发明一些实施方式中，在所述抓帧进程检测程序包括所述反函数注入检测程序，且所述游戏应用的运行设备系统版本高于预设版本的情况下，步骤102可以包括：

步骤102-4，在所述预设抓帧监控目录下获取预设格式文件，并查询所述预设格式文件中是否存在包含预设抓帧注入函数，若存在则确定存在所述抓帧进程。

在上述实施方式中，GLES Layer是安卓10之后引入的新特性，可以通过注册自己的so库，在GLES初始化的时候获得GLES各个函数地址的回调，并可以把自己的函数插入其中，起到类似于函数钩子的效果。对于支持GLES Layer调试层的设备来说，由于设备提供了GLES Layer调试层的支持，使得RenderDoc能够更加方便的获取OpenGL ES的各个方法调用，而不用自行加钩子。抓帧软件可以通过对GLES Layer的注入实现抓帧，具体在注入的so库中注入AndroidGLESLayer_Initialize函数和AndroidGLESLayer_GetProcAddress函数。因此，在本发明的一些实施方式中，通过在预设抓帧监控目录下获取预设格式文件如so库文件，并在文件中查询是否存在预设抓帧注入函数，例如通过定时调用FindGLESLayerLib()，从/proc/self/maps中查找so文件，用dlsym检查是否包含AndroidGLESLayer_Initialize函数、AndroidGLESLayer_GetProcAddress函数，如果存在则通过SIGKILL退出。

另外，使用GLES Layer注入还需要在settings global中设置enable_gpu_debug_layers为1。因此，也可以通过查询enable_gpu_debug_layers值的方式识别GLES Layer注入，实现GLES Layer的防御。

在一些实施方式中，步骤102-4可以包括：若所述任一所述预设格式的文件中不存在所述预设抓帧注入函数，则将所述任一预设格式文件标记为已查询文件；相应地，步骤102-4中“在所述预设抓帧监控目录下获取预设格式文件”可以包括：在所述预设抓帧监控目录下获取未查询过的预设格式文件。

在上述实施方式中，对应已经查询过的so文件，为避免再次查询的性能消耗，如果so文件中不包含上述两种函数，则将其标记为已查询so文件；相应的，在/proc/self/maps目录下获取so文件时，跳过具有已查询标记的so文件，只需查找未检查过的so文件即可。

作为上述实施例具体实施方式的细化和扩展，为了完整说明本实施例的具体实施过程，提供了另一种游戏应用的抓帧防御方法，如图2所示，该方法可包括如下步骤201～步骤207：

在步骤201中，响应于所述游戏应用的启动信号，运行所述游戏应用。

在步骤202中，获取所述游戏应用的运行设备系统版本；若所述运行设备系统版本高于预设版本，则执行步骤203、步骤204以及步骤206，否则执行步骤203、步骤204以及步骤205。

在步骤203中，在所述预设抓帧监控目录下通过检测行尾文件名的方式查找是否存在预设类型的抓帧文件，并在检测所述抓帧文件时确定存在所述抓帧进程。

在步骤204中，创建反调试检测进程，通过所述反调试进程在所述预设抓帧监控目录下读取预设反调试字段对应的反调试值，并在所述反调试值不为预设安全值时确定存在所述抓帧进程。

在步骤205中，获取预设动态链接库文件打开函数对应的原始地址，以将所述原始地址写入过程链接表中；在所述预设抓帧监控目录下获取内存映像中的过程链接表，并查询所述过程链接表中的所述预设动态链接库文件打开函数所在的表项，确定所述预设动态链接库文件打开函数在内存中的首地址；若所述首地址与所述原始地址不一致，则确定存在所述抓帧进程。

在步骤206中，在所述预设抓帧监控目录下获取预设格式文件，并查询所述预设格式文件中是否存在包含预设抓帧注入函数，若存在则确定存在所述抓帧进程。

在步骤207中，在识别出存在所述抓帧进程时，向游戏进程发送结束信号，以终止所述游戏应用运行。

在上述实施例中，可以根据游戏应用的运行设备系统版本的不同，选择性的启动抓帧进程检测程序。如图2所示，当系统版本为安卓10及以上版本时，即系统支持GLES Layer调试层的情况下，执行步骤203、步骤204以及步骤206，抓帧软件注入检测程序、调试器检测程序、反函数注入检测程序同时启动，而当系统版本为安卓10以下时，即系统不支持GLES Layer调试层的情况下，执行步骤203、步骤204以及步骤205，抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序同时启动。另外，步骤203、步骤204、步骤205以及步骤206的具体执行方式可参见上文中步骤102-1～步骤102-4的对应描述，在此不再赘述。

通过应用本实施例的技术方案，针对不同系统版本，制定适应于特定版本的抓帧进程检测方式，有助于提高抓帧进程的识别准确率，防御游戏抓帧行为，提高游戏破解门槛，保护游戏安全性。

作为图1方法的具体实现，本发明实施例提供了一种游戏应用的抓帧防御装置，如图3所示，该装置可包括：

游戏启动模块，用于响应于所述游戏应用的启动信号，运行所述游戏应用；

抓帧检测模块，用于启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，其中，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；

抓帧防御模块，用于在识别出存在所述抓帧进程时，终止所述游戏应用运行。

在一些实施方式中，在所述抓帧进程检测程序包括所述抓帧软件注入检测程序的情况下，所述抓帧检测模块可用于：

在所述预设抓帧监控目录下通过检测行尾文件名的方式查找是否存在预设类型的抓帧文件，并在检测所述抓帧文件时确定存在所述抓帧进程。

在一些实施方式中，在所述抓帧进程检测程序包括调试器检测程序的情况下，所述抓帧检测模块可用于：

创建反调试检测进程，通过所述反调试进程在所述预设抓帧监控目录下读取预设反调试字段对应的反调试值，并在所述反调试值不为预设安全值时确定存在所述抓帧进程。

在一些实施方式中，所述抓帧检测模块还可用于：

创建反调试检测进程，并通过分叉函数将所述反调试检测进程分成父进程和子进程，其中，所述父进程和所述子进程互相进行心跳检测；分别通过所述父进程和所述子进程在所述预设抓帧监控目录下读取所述预设反调试字段对应的反调试值，并在任一进程读取的所述反调试值不为所述预设安全值时结束该进程；当检测到所述任一进程心跳停止时，确定存在所述抓帧进程。

在一些实施方式中，在所述抓帧进程检测程序包括所述反钩子注入检测程序的情况下，所述抓帧检测模块可用于：

获取预设动态链接库文件打开函数对应的原始地址，以将所述原始地址写入过程链接表中；在所述预设抓帧监控目录下获取内存映像中的过程链接表，并查询所述过程链接表中的所述预设动态链接库文件打开函数所在的表项，确定所述预设动态链接库文件打开函数在内存中的首地址；若所述首地址与所述原始地址不一致，则确定存在所述抓帧进程。

在一些实施方式中，在所述抓帧进程检测程序包括所述反函数注入检测程序，且所述游戏应用的运行设备设备系统版本高于预设版本的情况下，所述抓帧检测模块可用于：

在所述预设抓帧监控目录下获取预设格式文件，并查询所述预设格式文件中是否存在包含预设抓帧注入函数，若存在则确定存在所述抓帧进程。

在一些实施方式中，所述抓帧检测模块还可用于：

若所述任一所述预设格式的文件中不存在所述预设抓帧注入函数，则将所述任一预设格式文件标记为已查询文件；以及，

在所述预设抓帧监控目录下获取未查询过的预设格式文件。

在一些实施方式中，所述抓帧防御模块可用于：在识别出存在所述抓帧进程时，向游戏进程发送结束信号，以终止所述游戏应用运行。

在一些实施方式中，所述游戏应用的抓帧防御装置还可包括：

版本获取模块，用于所述启动抓帧进程检测程序之前，获取所述游戏应用的运行设备系统版本；

所述抓帧检测模块，可用于：若所述运行设备系统版本高于预设版本，则启动所述抓帧软件注入检测程序、所述调试器检测程序、以及所述反函数注入检测程序中至少一个；否则，启动所述抓帧软件注入检测程序、所述调试器检测程序、以及所述反钩子注入检测程序中至少一个。

需要说明的是，根据本发明实施例的一种游戏应用的抓帧防御装置所涉及各功能单元的其他相应描述，可以参考图1至图2方法中的对应描述，在此不再赘述。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的游戏应用的抓帧防御装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置的程序/指令(例如，计算机程序/指令和计算机程序产品)。这样的实现本发明的程序/指令可以存储在计算机可读介质上，或者可以一个或者多个信号的形式存在，这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

基于上述如图1至图2所示方法，相应的，本发明实施例还提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述如图1至图2所示的游戏应用的抓帧防御方法。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

图4示意性地示出了可以实现根据本发明的游戏应用的抓帧防御方法的计算机设备，该计算机设备包括处理器410和以存储器420形式的计算机可读介质。存储器420是计算机可读介质的一个示例，其具有用于存储计算机程序431的存储空间430。当所述计算机程序/指令431由处理器410执行时，可实现上文所描述的游戏应用的抓帧防御方法中的各个步骤。

图5示意性地示出了实现根据本发明的方法的计算机程序产品的框图。所述计算机程序产品包括计算机程序510，当所述计算机程序510被诸如图4所示的处理器410之类的处理器执行时，可实现上文所描述的游戏应用的抓帧防御方法中的各个步骤。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以借助软件加必要的通用硬件平台的方式来实现，也可以通过硬件实现游戏应用启动运行后，同时启动抓帧进程检测程序，通过抓帧进程检测程序对预设抓帧监控目录下的进程运行信息进行分析，以识别是否存在抓帧软件注入、对调试器的反调试、特定类型的钩子、函数注入等方式的抓帧进程，并在识别出存在抓帧进程时，终止游戏应用运行，避免抓帧进程持续对游戏应用进行抓帧。本发明实施例在游戏应用运行的同时启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息可以对多种类型的抓帧行为进行识别，并及时终止游戏应用运行，实现对游戏抓帧的防御，提高了破解游戏资源以及游戏程序的门槛，降低了游戏资源被恶意窃取的可能性，提高了游戏的安全性。

上文对本说明书特定实施例进行了描述，其与其它实施例一并涵盖于所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定遵循示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可行的或者有利的。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

应可理解，以上所述实施例仅为举例说明本发明之目的而并非对本发明进行限制。在不脱离本发明基本精神及特性的前提下，本领域技术人员还可以通过其他方式来实施本发明。本发明的范围当以后附的权利要求为准，凡在本说明书一个或多个实施例的精神和原则之内所做的任何修改、等同替换、改进等，皆应涵盖其中。

Claims

一种游戏应用的抓帧防御方法，包括：

响应于所述游戏应用的启动信号，运行所述游戏应用；

启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；

在识别出存在所述抓帧进程时，终止所述游戏应用运行。
根据权利要求1所述的方法，其中，在所述抓帧进程检测程序包括所述抓帧软件注入检测程序的情况下，所述启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，具体包括：

在所述预设抓帧监控目录下通过检测行尾文件名的方式查找是否存在预设类型的抓帧文件，并在检测所述抓帧文件时确定存在所述抓帧进程。
根据权利要求1所述的方法，其中，在所述抓帧进程检测程序包括调试器检测程序的情况下，所述启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，具体包括：

创建反调试检测进程，通过所述反调试进程在所述预设抓帧监控目录下读取预设反调试字段对应的反调试值，并在所述反调试值不为预设安全值时确定存在所述抓帧进程。
根据权利要求3所述的方法，其中，所述创建反调试检测进程，通过所述反调试进程在所述预设抓帧监控目录下读取预设反调试字段对应的反调试值，并在所述反调试值不为预设安全值时确定存在所述抓帧进程，具体包括：

创建反调试检测进程，并通过分叉函数将所述反调试检测进程分成父进程和子进程，所述父进程和所述子进程互相进行心跳检测；

分别通过所述父进程和所述子进程在所述预设抓帧监控目录下读取所述预设反调试字段对应的反调试值，并在任一进程读取的所述反调试值不为所述预设安全值时结束该进程；

当检测到所述任一进程心跳停止时，确定存在所述抓帧进程。
根据权利要求1所述的方法，其中，在所述抓帧进程检测程序包括所述反钩子注入检测程序的情况下，所述启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，具体包括：

获取预设动态链接库文件打开函数对应的原始地址，以将所述原始地址写入过程链接表中；

在所述预设抓帧监控目录下获取内存映像中的过程链接表，并查询所述过程链接表中的所述预设动态链接库文件打开函数所在的表项，确定所述预设动态链接库文件打开函数在内存中的首地址；

若所述首地址与所述原始地址不一致，则确定存在所述抓帧进程。
根据权利要求1所述的方法，其中，在所述抓帧进程检测程序包括所述反函数注入检测程序，且所述游戏应用的运行设备系统版本高于预设版本的情况下，所述启动抓帧进程检测程序，基于所述预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，具体包括：

在所述预设抓帧监控目录下获取预设格式文件，并查询所述预设格式文件中是否存在包含预设抓帧注入函数，若存在则确定存在所述抓帧进程。
根据权利要求6所述的方法，其中，所述查询所述预设格式文件中是否存在包含预设抓帧注入函数之后，所述方法还包括：

若所述任一所述预设格式的文件中不存在所述预设抓帧注入函数，则将所述任一预设格式文件标记为已查询文件；

相应地，所述在所述预设抓帧监控目录下获取预设格式文件，具体包括：

在所述预设抓帧监控目录下获取未查询过的预设格式文件。
根据权利要求1所述的方法，其中，所述在识别出存在所述抓帧进程时，终止所述游戏应用运行，具体包括：

在识别出存在所述抓帧进程时，向游戏进程发送结束信号，以终止所述游戏应用运行。
根据权利要求1所述的方法，其中，所述启动抓帧进程检测程序之前，所述方法还包括：

获取所述游戏应用的运行设备系统版本；

相应地，所述启动抓帧进程检测程序，具体包括：

若所述运行设备系统版本高于预设版本，则启动所述抓帧软件注入检测程序、所述调试器检测程序、以及所述反函数注入检测程序中至少一个；

否则，启动所述抓帧软件注入检测程序、所述调试器检测程序、以及所述反钩子注入检测程序中至少一个。
一种游戏应用的抓帧防御装置，包括：

游戏启动模块，用于响应于所述游戏应用的启动信号，运行所述游戏应用；

抓帧检测模块，用于启动抓帧进程检测程序，基于预设抓帧监控目录下的进程运行信息识别是否存在对所述游戏应用的抓帧进程，所述抓帧进程检测程序包括抓帧软件注入检测程序、调试器检测程序、反钩子注入检测程序、反函数注入检测程序中至少一种；

抓帧防御模块，用于在识别出存在所述抓帧进程时，终止所述游戏应用运行。
一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现根据权利要求1至9中任一项所述的游戏应用的抓帧防御方法的步骤。
一种计算机设备，包括存储介质、处理器及存储在存储器上的计算机程序，所述处理器执行所述计算机程序时实现根据权利要求1-9中任一项所述的游戏应用的抓帧防御方法的步骤。
一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现根据权利要求1-9中任一项所述的游戏应用的抓帧防御方法的步骤。