近年来，游戏安全对抗强度相比以往更加激烈，具体表现在“定制挂”趋势显著。在近期收集的近万款外挂样本中，定制挂约占比78%，常见的内存修改器、变速器等通用作弊手段占比正在下降。

所谓定制挂，是指针对某款游戏单独开发的外挂。其在实现方式上与通用类外挂有较大区别，定制挂实现手段多为“注入攻击”，实现原理多样且产生后果影响恶劣，需要厂商投入更多的精力进行对抗。

游戏面临的外挂类型占比图

从注入过程上，Android系统一般采用 SO 注入、ptrace 注入、 Zygote 注入和感染 ELF 文件的方式实现注入过程。iOS系统在越狱后可以利用 Cydia 框架注入 dylib 实现。

Android平台导入表Hook流程图

外挂作者会通过多种手段，分析游戏的代码逻辑，并针对性的开发外挂功能模块，将其注入到游戏进程空间中，同时执行功能模块的入口函数。

定制挂具体表现为带外挂有功能控制菜单，通过菜单控制开启外挂后，作弊玩家可以通过控制菜单选择不同的功能。定制挂收到指令后，会调用对应的接口函数以Hook操作来挂钩相应函数、改写参数或者通过调用逻辑，从而实现丰富多样的外挂功能。

某游戏定制挂案例

与通用作弊相比，定制挂修改游戏代码逻辑的方式更加灵活多样，并且外挂作者会想尽各种办法隐藏注入模块，导致定制挂的排查难度更高、排查周期更久。

自带隐藏模块的LSPosed框架

据观察，定制挂开发门槛较高，会收取高额费用并控制同款外挂的使用人数，在外挂的样本量数据变少、部分特征被隐藏的情况下，对于游戏安全系统的检测精准性是一次不小的考验。

针对游戏面临的定制挂风险，FairGuard会通过游戏类型、玩法与对抗现状，提供针对性解决方案，主要包含如下功能：

主动识别恶意模块机制

区别于市面上其他安全产品，需要获取样本后进行外挂打击，FairGuard独家「主动识别恶意模块机制」可对游戏内可疑模块进行主动识别，搭配在线打击功能做到主动防御，大幅缩短外挂排查周期。

防改包功能

采用FairGuard业界独家技术「无API签名校验技术」，对游戏的引擎与代码进行加密处理，可以针对游戏包签名和文件完整性进行多重校验，防止游戏被植入恶意模块、剔除广告等。

反注入器功能

禁止使用Xposed、Frida等各种外挂模块注入器，防止注入后修改游戏内存等各种恶意行为，一旦发现立即闪退。

反调试功能

防止外挂作者对游戏进行调试，阻止对游戏的静态或动态分析，一旦发现立即闪退。

安全环境检测功能

不同于市面上其他产品，FairGuard加固采用更底层的检测手段，可精准识别虚拟框架、虚拟机、越狱、ROOT、云手机等各类风险环境，并提供个性化闪退策略。