这是挂哥玩游戏的画面:透视、自瞄、装备显示、敌人位置显示,全图物资显示,一应俱全。
这些“灵视拉满”的开挂画面,是柴司小陈在某“公益科技辅助技术”交流群里卧底时,看到的带货视频。货的名字叫DMA——一类号称“不可能被封”的外挂。
诶等等等等!现在DMA外挂不是照样会被封吗?
啊确实!在去年游戏反作弊系统升级之后,很多使用 DMA 的挂哥喜提 10 年小黑屋。
但...就在我们写稿的时候,技术交流群里的挂哥们还在热烈地讨论分享;群公告里一连串外挂程序的版本更新,比游戏更新都要快;甚至不久前,还因为“反反作弊”的难度增大,狠狠涨了一波价......
所以,“不可能被封”的DMA外挂是如何被封的?它还会“死灰复燃”吗?这一期的外挂攻防战,开始吧!
视频版
↓↓ 看完这个视频就知道了 ↓↓
↑↑ 信我,真的超级好看 ↑↑
图文版
和很多传统外挂以及“风灵月影”等单机修改器一样,DMA 外挂本质上是一种“内存挂”:也就是通过访问电脑内存,来读取或修改游戏的后台数据。
比如在 FPS 游戏中,服务器会把其他玩家的坐标、动作发到你的游戏客户端,暂放在内存里,由游戏引擎来判断要不要显示:
如果这个人就在你面前,那么就显示出来;如果中间隔了一堵墙,那就不显示。
而“内存挂”可以绕过客户端,直接读取内存上的暂存数据,进行计算。这样哪怕中间有墙,也可以实现“透视”。
为了降低服务器压力,提升游戏效率,很多游戏里的角色位置、血量、伤害、弹药变化等数据,都是由玩家的电脑在本地计算的,服务器只负责关键数据的处理和检查。
这么一来,就让内存挂有了充分的表演空间:
比如只要叮一下,遍历玩家列表,就能在吃鸡时知道周围还蹲了多少人;
叮一下,筛选物品列表,就能在“搜打撤”时瞬间锁定“大红”位置;
再叮一下,修改武器参数,就能把初始步枪魔改成无后座、无散布、无限连射的机关狙击枪……
不过,在 PVP 网游里,服务器可以随时检查本地数据状态。如果一个角色攻击力突然从 5 变成了9999,那服务器一查就知道你开了挂。
所以很多网游外挂,都只提供“透视”、“开图”等信息获取类的作弊功能。只读内存不改内存,以提高作弊的隐蔽性。
但再隐蔽,也会留下蛛丝马迹。
如今很多游戏,都自带本地的反作弊系统。比如腾讯的 ACE,就会在游戏启动时加载一个内核驱动程序,专门监控和阻止可疑程序非法访问内存,同时不断扫描电脑上的异常行为,定位、隔离冒头的外挂程序。
可以说,只要外挂和游戏运行在同一台设备上,就不可能完全隐身。
那,如果不运行在同一台设备上呢?不就能躲过反作弊系统的“追杀”了吗?
恭喜你,完全抓住了 DMA 外挂的精髓:DMA外挂,是运行在另外一台设备上的。
它看起来就是这样的一块硬件电路板,往 PCIe 接口上一插,外挂就真的“挂”在了电脑外面。所以 DMA 外挂是一种“硬件挂”,开 DMA 的老哥也被“亲切地”称呼为“板子哥”。
由于附身于另一套硬件,所以 DMA 外挂不用像传统外挂那样以软件形式访问内存,而是可以把自己伪装成网卡、声卡等设备,以更合法可信的方式“抄”走数据。
因为通过物理接口访问,访问权限更高,所以能绕开系统层的监控;
因为没有在原操作系统上安装软件,所以能躲过反作弊扫描;
因为所有的作弊数据都跑在外部设备上,所以原设备不会留下任何异常行为和作弊痕迹。
于是,一款理论上永远不会被封的“终极外挂”,诞生了。
从 2020 年提出构想,到 2023 年 DMA 席卷各大主流游戏,网吧机房,越来越多的“法外狂徒”加入了“插板宗门”。
当合法玩家苦练游戏技术的时候,他们琢磨的却是如何把挂开得更有“技术”:
比如最入门的开挂套餐,是架设一台运行游戏的“主机”,和一台运行DMA外挂的“副机”,再给副机配台显示器,就可以看到墙后所有玩家的人物骨骼;
稍微进阶点的挂哥,会搞一台这样的融合器。它能把游戏画面和外挂解析出的火柴人叠加显示,模拟出“透视”效果;
再进阶一点的挂哥,还会搞这样一台KMbox,俗称“键鼠盒”。它能把“自瞄”外挂也运行在外部硬件上,然后模拟成正常鼠标,重新接入游戏,实现枪枪爆头;
更猖狂的挂哥,还会开上“挂车”,带上老板,把一块板子的透视画面分享给全队,借此牟利,美其名曰“护航”;“坐挂车”的老板不需要自己开挂,掏钱就能享受透视效果,就算挂哥被封,也和自己无关。
就这样,在很长一段时间内,游戏官方拿 DMA 外挂几乎毫无办法。
使用“键鼠盒”的作弊行为,勉强还能通过鼠标移动轨迹是否自然来检测;但如果挂哥只开透视和装备物资显示,那真的没办法。
无论是排查 DMA 固件特征、分析硬件内存访问模式,以及最朴素的,靠玩家游戏内举报来间接判断,都最多只能抓住个别挂哥,不光谈不上有效治理,甚至还会误封正常玩家。
而且外挂的“研发团队”也没闲着:他们一会儿改进伪装方案,升级成1人1固件;一会儿扩大伪装范围,从伪装网卡,升级成伪装声卡、显卡、磁盘、打印机。
几番切磋下来,DMA 外挂的排查难度反而越来越高,“不可能被封”的名号越打越响。几乎所有板子哥都坚信,属于 DMA 的“黑暗王朝”将永不落幕……
然后,它就被封了。
2025 年 7 月,DMA 外挂的重灾区“三角洲行动”突然上线了一套“CPU虚拟化”功能,号称能在“原理层面阻断 DMA使用”。
它确实做到了:光是在 9 月初的一周内,它就揪出了 6.7 万人次的 DMA 作弊,36 万人次的“坐挂车”行为,一口气封禁了 6 万多台设备。一网下去全是鱼。
更好笑的是,从去年八九月开始,如果你打开某海鲜交易平台,输入关键词“不能玩”,那么下面就会出现一串“不能玩三角洲的主板、固态、显卡”。成色微瑕、价格美丽,至于为什么不能玩三角洲,这你别问~
而这次 DMA 外挂之所以“马失前蹄”,是因为游戏厂商启用了一项全新的反作弊功能:IOMMU。
它的原理并不难理解:它可以通过 Intel 的 VT-D 等功能,强制把内存切割成一个个小区域,并规定每个硬件只能访问特定区域:网卡就只能访问网络相关数据,显卡就只能访问图像方面数据。如果一张网卡试图“跨界”读取图像区域,那肯定不是什么正经网卡,可以判定真身为 DMA 外挂。
如今像《三角洲行动》、《无畏契约》等许多游戏,无论是用 Intel 还是 AMD 处理器,都会启动时强制开启 IOMMU 功能。只要发现 DMA 外挂,账号连同设备就会统统被 ban,10 年之内,就算更换登录设备和游戏账号,也无法重新进入游戏。
到此为止,DMA 外挂不会被封的神话,已经彻底破碎了。
不过.......它并没有死透:
比如在某些视频平台里输入“VTD”,你就能看到许多“专注技术交流”、“无商业性质”,但是旁边偏偏留了一串神秘数字的 “DMA过V教学” 视频。
所谓“过V”,就是想办法跳过 VT-D 启动,让游戏在没有 IOMMU 保护的状态下运行,再接入 DMA 外挂。
或者也可以不跳过 VT-D,而是想办法和 IOMMU 拼速度,抢先手,赶在反作弊系统初始化完成之前,潜入作弊程序、注入代码。
为了避免硬件被 ban 彻底作废,一些黑产分子还会伪造 DMA 硬件的机器码。每次被封,都能立刻换一套马甲重新作案。
还有一些运气差的朋友会被这种操作误伤:有人在购买全新设备时,不幸撞上了这些被随机刷出来的“黑机器码”,导致全新的电脑、干净的账号却被判定为开挂,无法登陆游戏。
目前来看,随着预启动保护、人脸验证、数据加密等等反作弊手段的升级,DMA 外挂确实已经得到了明显控制。
可以说,世上并不存在“不可能被封”的外挂。但,也不存在能查出所有挂的反作弊系统。DMA 外挂仍有死灰复燃的机会,而且这些“公益科技辅助技术”群里,也可能会炼出新的魂器。作弊和反作弊的猫鼠游戏,会一直进行下去。
最后,如果你希望世界多一点公平正义,那可以跟小陈一样,动手点点举报,共建公平诚信的游戏环境,加入到反挂的伟大事业中来。
下期见!
热门跟贴