带游戏的聊天源码下载-魔兽世界中的“命令行”技巧：这段代码可以让你破产

bendan520 游戏源码

2023-08-26 0 7,532 百度已收录

立即下单

进入商城

进不了网站？换个网络试试！

介绍

大多数魔兽世界诈骗都属于“社会工程”类别：伪造游戏ID，利用人际技巧，获取受害者的信任。但还有一种更厉害的骗局，是利用游戏内聊天系统中的“命令行”功能，看起来像是黑客攻击。

无论是“金团”黑金黑武器带游戏的聊天源码下载，还是点卡金币/人民币交易，几乎每个《魔兽世界》玩家都被至少一种骗局所侮辱过。被骗后我能做什么？别再想着拍胸部照片的方便和好处，似乎没有其他办法——至少在韩服里，客服通常无法帮助受害者。

大多数魔兽世界诈骗都属于“社会工程”类别：伪造游戏ID，利用人际技巧，获取受害者的信任。但还有一种更厉害的骗局，是利用游戏内聊天系统中的“命令行”功能，看起来像是黑客攻击。代码如下所示：

/runRemoveExtraSpaces=RunScript

《魔兽世界》玩家长期饱受命令行之苦。很多人都听说过诱骗帮派头目退出、交出头目的伎俩（/gquit、/gleader）。但前面的命令更具破坏性。如果你把它输入到你的游戏中，基本上就相当于把整个游戏的控制权交给了骗子。

这个命令有什么用呢？

这是一个脚本命令，魔兽世界客户端界面的脚本语言是Lua（基于C）。我们玩游戏的界面，比如动作栏、角色名牌（血条）、施法栏、伤害文字等，无论是暴雪自己的还是第三方的界面或功能插件，都是用Lua编写的脚本语言。

屏幕中所有非 3D 的内容都是界面

/run：让/run后的数组按照Lua脚本运行； RemoveExtraSpaces和RunScript：都是游戏自带的合法函数，分别可以去除文本中无用的空格，使一段文本被识别为Lua代码。

上面代码的作用是每当前者运行时就将后者替换为前者。每当魔兽世界玩家收到聊天消息时，后者就会运行，并且由于此代码，玩家收到的聊天消息将作为 Lua 命令执行。

诈骗者会假装这个代码是绝版灵兽的兑换码，而且坐骑对玩家来说非常有吸引力。但显然，这段代码是该骗局“接口劫持”计划的第一步，也是最重要的一步。

接口绑架

这段代码有一个副作用：

被骗玩家的聊天系统被破坏

他看不到别人发来的信息，因为信息全部转换成了Lua命令，而Lua命令运行时除了错误之外没有任何提示。如果玩家产生怀疑并重新开始游戏，之前的努力就会付诸东流。所以骗局需要远程重启玩家的聊天功能——当然是以聊天的形式。因为，现在玩家的客户端已经变成了“肉鸡”，其指令就会被骗子执行。

诈骗者会向玩家发送此命令以重启玩家的聊天功能

这样，玩家仍然可以在各种公共或私人频道中正常聊天，但骗局会使用另一个功能“插件通信套接字”（CHAT_MSG_ADDON）继续向玩家的客户端注入代码。

“插件通信套接字”也是暴雪开发并提供给第三方插件开发者的合法功能。通过此套接字发送的信息不会显示在玩家的聊天框中。很多人都用过DBM插件。它的组队报警实现方式实际上是组长插件通过“插件通信套接字”向组长发送信息。

有些插件可以显示插件通信套接字的消息，但大多数玩家看不到这些消息

这样，恶意代码就被一一发送到受害玩家的客户端。即使玩家没有安装任何第三方插件，插件通信套接字也是默认打开的，很难关闭，因为它是游戏运行的重要功能。

作弊者可以编写自己的恶意代码并通过插件通信套接字发送

所有代码的最终目的都是为了彻底劫持玩家的游戏界面。注入完成后，我们假设被骗玩家位于市区。骗子首先找到他的准确位置，控制角色走到他身边，通过插件通信套接字发送代码，控制玩家客户端开始交易，输入交易金额，点击确认。好吧，你的钱没了。

整个过程中最可怕的地方在于，骗子已经获得了对播放器界面的完全控制权，并且通过代码实现了对界面的远程控制，对于被骗玩家本地来说是完全看不到的。

新版本并没有彻底解决这个问题

再过一个月，《魔兽世界》《军团》最新7.0版本即将上线；事实上，起到过渡作用的“Eve”版本已经安装完毕。近日，暴雪联合各国游戏运营商针对该漏洞推出了在线修正（热修复），但并没有彻底解决问题：现在在命令行输入以/run或其他数组开头的脚本命令，弹出一个Dialog框，提示玩家使用自定义脚本可能会导致游戏币丢失，询问是否继续。

如果玩家选择“是”，则会执行当前的自定义脚本，并且不会再出现此对话框，后续的自定义脚本也会手动执行。

如何保护自己？