游戏模拟器成了外挂帮凶，灰产对抗再升级

游戏模拟器，相信大家都不陌生。作为一种“仿真”程序，可以在电脑安装游戏模拟器，模拟出一个独立的手机系统，实现手机游戏在电脑本地化运行。

这种操作既可以节省手机内存空间，避免长时间玩游戏手机发烫发热的尴尬，也可以用键盘鼠标对游戏进行操作，在一定程度上优化了玩家的体验。

在模拟器中体验FPS类游戏

尤其是在体验FPS类游戏的时候，需要玩家兼顾移动、射击、下蹲、调整视角等操作，狭窄的手机屏幕上遍布操作按键，对于一部分玩家来说体验十分不友好，这时候用键盘鼠标来操作就显得尤为便捷。

加之，模拟器的功能愈发丰富，画质流畅程度不亚于手机，越来越多的手游玩家选择用模拟器来体验游戏。

最初，游戏模拟器的设计是为了方便玩家，但其中的一些功能也被游戏灰黑产所利用，成了外挂运行的“帮凶”。

比如Android系统的最高权限——Root权限，有了这个权限可以实现一些访问、修改行为。而Android 6.0后的系统带Root权限的已经比较少了，这时候模拟器就派上了用场，一些游戏中的外挂所附带的数值修改功能，正是依托于模拟器中提供的Root权限实现的。

模拟器自带Root权限

除了数值修改外挂，支持多开这个功能也被一些脚本工作室所利用。

使用模拟器多开挂机的工作室

在近期收集的外挂样本中，FairGuard还发现了一些外挂利用MuMu模拟器可以实时开关Root权限，而不需要重启的特性上演了一出“瞒天过海”。

先开启Root权限打开外挂，再关闭权限运行游戏，这样外挂得到了Root权限，而游戏方却检测不到Root环境。

MuMu模拟器开启/关闭Root权限不需要重启

一款游戏在手机中运行的是apk程序，而模拟器中运行的是exe程序，这两种截然不同的程序对游戏安全产品检测能力来说是一次考验。

检测手机中运行的外挂，就相当于在水缸里打捞一尾鱼，而检测模拟器中运行外挂，就相当于在池塘中打捞一尾鱼，如果游戏安全检测手段不够全面，在面对模拟器环境下运行的外挂往往会漏检。

虽然使用游戏模拟器会存在一些游戏安全隐患，但我们并不能粗暴的禁用模拟器。

对于模拟器环境，FairGuard技术团队潜心研发了一套针对性策略。方案采用更底层的检测逻辑，搭配140+维度的智能感知系统，模拟器中运行的外挂、脚本即使隐藏的再深也无处遁形，该方案目前已接入多款热门游戏并得到有效验证。

FairGuard检测风险环境变化趋势图