首页 > 科技 > 游戏新闻 > 网络游戏 > 网游新闻 > 正文

魔兽中的“命令行”骗术:这条代码能让你倾家荡产

2016-07-27 15:24 来源:PingWest品玩 0

­  “插件通信接口”同样也是暴雪开发并提供给第三方插件开发者的合法功能,通过这个接口发送的信息不回显示在玩家的聊天框上。很多人都用过 DBM 插件,它的团队警报实现方式,其实就是团长的插件通过“插件通信接口”向团员发送信息,团员的客户端插件收到这些信息,呼出对应的事件警报,

­  有些插件可以让插件通信接口的消息显示出来,大部分玩家看不到这些消息

­  就这样,一条一条恶意代码发送到受害玩家的客户端里。即便玩家没有安装任何第三方插件,插件通信接口也是默认开放且无法关闭的,因为它是游戏运行的重要功能。

­  骗子可以自己编写恶意代码通过插件通信接口发送

­  所有代码的最终目标是完全劫持玩家的游戏界面。完成注入后,我们假定受骗玩家正在主城,骗子先找到他的准确位置,控制角色走到他的身边,通过插件通信接口发送代码,控制玩家的客户端启动交易,输入交易金额,点击确认。好了,你的钱都没了。

­  整个过程最可怕之处在于,骗子取得了玩家界面的完全控制权,远端对界面的控制通过代码实现,在受骗玩家在本地是完全看不见的。

­  新版本并未彻底解决这个问题

­  再过一个月,《魔兽世界》最新的 7.0 版本《军团再临》就将正式上线;事实上,起过渡作用的“前夕”版本已经实装。最近,暴雪以及游戏在各国的运营商针对该漏洞推出了一个在线修正(hot fix),但并未彻底解决问题:现在在命令行中输入以 /run 或其他字段开头的脚本命令,会弹出一个对话框,提示玩家使用自定义脚本可能会导致游戏金币损失,询问是否继续。

­  如果玩家选择是,当前的自定义脚本会执行,而且这个对话框不会再出现,之后的自定义脚本也会自动执行。

­  该怎样保护自己?

­  首先,不要输入 /run 开头的脚本命令。也不要贪,魔兽世界里没有任何隐藏代码能让你获得神装和隐藏坐骑。

­  其次,只使用暴雪自带的插件,在自己信任的插件聚合网站,或者单独插件作者自己的网站下载插件,并更新过期的插件,不去不知名的小网站下载。第三方插件本身就有运行脚本的能力,你永远不知道自己的角色别人能也控制。

新闻推荐

到头了;
下一条:守望先锋新补丁已上线:麦克雷削弱 安娜增强
24小时新闻排行榜