九阴玩家针对各种盗号情况 分享防范经验
对了。想起以前看到的部分抱怨,这里附加特典吧,再送去马赛克补丁。
1。内部盗号、平台操作这些,技术上是可行的。我不能说是网游专业人士,只能说当年做过冰封和天龙私服的开发(不是抄,是和自己写)。sf运营也做过几年,买我们端的客户也接触很多。被gm坑的不计其数。当然,你可以说大企业规矩多防范强,但其实有人说越复杂的东西越脆弱。所以,我没办法证明你错,你也没办法证明我没道理。没必要喷了,每个人都有自己的见解,如果真是内部盗号,我们能做什么?
但是最好喷之前想清楚,分析一下被盗了具体是什么原因再说。这个世界上没有100%对的事情,你也最好不要100%确定地说什么事情,给自己留点退路。
×××××这里假定内部盗号不存在,那如何解释。。。××××××
q. 号没动,还在原地,仓库空了。
a. (勉为其难地讲)技术上唯一可能的方式就是蜗牛服务端缺陷,攻击者通过抓包分析得出绕过npc访问仓库的方法。注意这个是可能的,根据蜗牛的bug数量,我感觉如果真的存在,那利用起来不是什么问题。
q. 绑定装备没了?
a. 如果你确定对方不是卖了或者扔了,那只能是有特殊方式解绑,同样原理,服务端缺陷。
q. 几个朋友一起下本,打出xxx,集体下线被洗劫。
a. 这个有点太玄了吧。。。唯一可能是对方有你们所有人的号,注意你们很久了。。。。
×××××××××××××××××××××××××××××××××××××××××××××××
那假定内部盗号存在,就不用我来解释了吧?
其实良心话,国产网友低端在起跑线上。当年仿冰封的时候,光一个登录,服务端客户端加密解密好几次,抓了包没办法用,最好一点一点试出来的。。。
天龙就坑了,现在我不知道改进没有。感兴趣的下个wireshark试验一下,登录明文,聊天明文,指令是拼音或者拼音缩写。。。完全没有挑战性。
最后说一下,我不是什么高手,说我自己的背景只是为了说明我的点有一定的道理。当然你可以当我放屁,顶贴是为了分享心得,减少各位被盗的风险。欢迎一切意见建议,喷也行,算你帮我顶贴了。
以上。
不得不说蜗牛客服的态度和解决盗号的效率是我见过最差的。这可能也是大家这么愤怒的原因之一。但不要用谎言揭穿别人的谎言,那只能降低你的可信度,赢的还是最初撒谎的人。
作为玩家,保护好自己才是最重要的。蜗牛盛大双运营,那到底是谁去数据库里查你的帐号访问记录和装备删除记录?谁负责恢复?两个公司推来推去你也就只能骂客服了。其实他们是无辜的好不好。
刚才看到有人抱怨内部盗号,再来说一下技术上的可行性。这个只是证明平台操作的可能性,并不说明情况一定是这样的。
×××以下言论全部是假设,没有根据,只为证明内部操作的可能性×××
1。 平台操作
如果某员工有后台访问权限,那么他可以在不知道你密码的情况下修改你的仓库、装备、金、官银。这在数据库设计和系统设计中是完全可能,并且完全正常的。这些数据只是在数据库中某些表中的某些记录而以,修改不需要知道你的密码。但是如果企业有各种监视、日志、权限控制,那实现起来会难很多,我这里只说可行性。
再有,如果某人可以随便修改你数据库的信息,真的不如去复制官银了,没必要偷你的,除非九阴系统有官银总量日常自检的功能,内部人员为了避开检测只能偷。
2。 密码
有些人说你的密码是加密后储存在数据库里的,这样内部人员即使看到你的密码密文也没办法访问你的帐号。这个是不准确的。我来解释一下加密。
假设蜗牛的加密算法(不可逆算法)为M
假设你的密码是A
那么你在数据库中加密后的密文是A -----(M)-----> A1
那么在知道A1的情况下是无法还原成A的。所以无法正常访问你的帐号。
但是,一定要有但是。我可以做的是,假设我有数据库访问权限。
首先我用相同的算法加密一个已知的密码B
那么有B------(M)------>B1
然后我用B1替换你在数据库中的密文A1,替换前我将A1记录下来。
现在你的密码已经被更改了,我可以使用B登录你的帐号了。
接下来洗号然后将你的密码在数据库中替换回A1,神不知鬼不觉,你的密码还是你的密码,可你的东西木有了。
同样的道理,如果你绑定了牛盾,那我在数据库中先将你的帐户解绑牛盾,炮制上面的方法洗号,然后重新绑定牛盾。一样一样的。
以上只是为了说明内部操作的可行性,你非要辩内部规章制度我也没办法。还是我那句话,你证明不了我错,我也证明不了你没道理。 不要再说内部操作技术上不可能了,如果不服,可以来辩。
我个人不是很主张内部盗号的说法,以上只是想证明技术上是可行的。当然我感觉大家号被盗生气又不愿意承认是自己的问题所以嫁祸他人比较合乎逻辑。最重要的是保护好自己。
假设内部盗号和外部盗号同时存在,那咱们绑了牛盾先杜绝外部盗号不就行了。个人有个人的看法,但最终咱们也是要想办法保护自己。难道那些成天喊内部盗号的人都不玩了?
