知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公

这篇具有很好参考价值的文章主要介绍了知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

导读:群控系统一般由多个部分组成,例如在手机端运行的服务、在手机端用于模拟输入的输入法、在 PC 端用来对所有设备操作与监控的中控台、在服务器中运行的连接所有设备的服务端等。本文主要介绍对群控软件技术的相关研究与实践。

文|李伊洋 网易易盾 Android 安全工程师

群控功能:区别于模拟点击工具,群控系统一般由多个部分组成,例如在手机端运行的服务、在手机端用于模拟输入的输入法、在 PC 端用来对所有设备操作与监控的中控台、在服务器中运行的连接所有设备的服务端等。

群控系统的组成:作为一个系统,群控系统由 PC 中控模块、手机通信模块、功能实现模块三部分组成,但是不一定每个模块都是独立或是独一的,用某智控产品举例,只有 PC 中控软件与一个 APK 安装包两个软件,而某助手软件包含 PC 中控软件、输入法 APK、通信 APK、UIAutomator 功能 APK 四个软件。

一、PC 中控模块

PC 中控软件是整个系统的核心。核心功能可以分为对设备的监控与控制、对脚本的编写与控制两个部分。

对设备的监控是指会有大量的设备屏幕在这里被展示,通过颜色或是一些小标志,可以看到对应设备的手机通信模块是否正常运转。当指令下发时,没有正确执行指令的设备,由于屏幕不一致就会显现出来。黑灰产厂商能够快速排查问题,保证设备墙正常运转。这部分功能依赖于 adb 或是网络通信,做法可以根据手机内的通信模块而改变。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

脚本的编写主要是依赖于对手机 Activity 树状结构的解析,使得 View 信息能被脚本开发人员获取,通过 View 的 id 或是 text 属性,从而定位 View 的坐标,完成脚本开发。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

同时部分中控软件也支持脚本市场的功能,可以直接编写脚本开发人员已经编写好的脚本。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

脚本由 PC 中控软件控制下发,做到批量执行、定期执行、延期执行、批量停止等操作。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

二、手机通信模块

主要用于对 PC 中控软件的指令进行解析,以及将屏幕图像传递给 PC 中控软件。以某老牌群控软件为例。

接受指令:
知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

也用于弹出部分提示信息,例如查找指定设备,则会发出声音,并提示关闭提示倒计时:
知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

三、功能实现模块

每个群控系统都有他们特有的做法用来实现具体的功能。在整个群控系统中,这个模块是最接近被保护应用的,目前的检测思路主要也是围绕功能模块进行。下文会对这里提到的各个功能进行更具体的分析。

获取 Activity 结构:脚本开发和使用中,都需要获取到 View 的信息。为了获取这个信息,需要手机内的功能模块辅助完成。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

模拟点击:模拟正常用户的点击,触发应用按钮、屏幕滑动等内容。模拟点击一般不会是单独的一个 apk,常见集成在输入法内。

其他:如截屏、开关 WIFI、重启设备等小功能就不再展开。

功能划分

从群控实现了的功能出发,可以将其分为以下的功能:

对系统的操作、WIFI 开启或关闭、流量开启或关闭、应用的安装与卸载、应用 Activity 的启动、通讯录管理、文件的互传、剪贴板的互转、获取 Activity 的树状结构与其他。

对系统的监听、短信及其内容的监听、屏幕变化的监听与其他。

对输入的模拟、文本输入的模拟、坐标点击的模拟、多选框选择的模拟与其他。

对自身的逻辑、录制操作的保存、已录制操作的重放、已编写脚本的解析、延迟脚本的处理、各个部分间的通信、多个脚本的控制与其他。

技术细节

群控往往是跨端实现功能,现在基本可分为本地群控和云控,区别在于是否开放外网操纵设备。

云控的好处在于设备本身可以是分散的,例如黑灰厂商向一个正常设备租下一段时间,通过云端发送指令操作,完成黑灰操作后再结算费用给散户。这样从设备的聚集性上就很难看出异常,不论是 ip 还是 gps 都没有任何的聚集性。

同时云控也有另外的做法,同样使用传统设备墙,设备墙连接一个中控服务器,服务器开放外网,这样就能随时随地操作设备墙,主要用于大型团队的操作。而本地群控就是最传统的做法,如果设备较少就可以直接通过集线器连接电脑,电脑直接通过群控系统跨端操作设备墙。如果设备过多,可以加入一个中转的中控服务器,但是不连接外网,而是通过路由器等在内网直接接受指令。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

功能模块原理

模拟点击:模拟点击的具体内容可以查看之前发过的 Android 模拟点击研究相关文章。

控件查找:控件查找对于任何一个群控系统与自动点击工具来说都是必备功能。除开通过 opencv 库做到的找图和 OCR 找字之外,对于控件查找更重要的能力在于对其属性的获取。例如一个界面中若是有两个都是长得一模一样的按钮,那么不论是找图还是 OCR 都只会返回第一个值,后一个按钮就失效了。

于是出于脚本稳定性考虑,群控系统和自动点击工具都会想方设法去获得控件的属性,例如唯一标识的 ID。

以现有的样本为例,群控系统获得控件属性的办法有两种,分别是类 Auto.js 做法与类 UIAutomator 做法。

类 Auto.js :该做法依赖于无障碍服务,所以需要注册无障碍服务,但并非所有软件都需要注册该服务

*/com.stardust.autojs.core.accessibility.AccessibilityService

优点:开发容易且稳定。缺点:依赖无障碍服务,通过获取无障碍服务列表可以检测。

类 UiAutoMator:这种做法来源于测试工具,appium 也是同样的做法。

大致思想是将 UIAutomator 调试桥植入设备,然后可以通过 adb shell uiautomator dump 命令,将当前的 activity 的树状结构 dump 成一个 xml 形式,然后解析该 xml,就可以得到 activity 中的所有控件属性。

可以看到在没有使用无障碍服务的情况下,获得了所有的 View 信息。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

优点:脱离了对无障碍服务的依赖,使得检测更困难。缺点:类似于早期的 monitor 工具,所有的 xml 都需要 dump 然后解析,时效性较差且效率较低。

有效的检测方案

网络通信:目前发现群控基本都依赖于 socket 通信,对于一些处理不是很好或是开发时间较久的群控系**统,可以通过复占端口的方式检测。

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

模拟点击:模拟点击方式通过 adb 权限,MotionEcent.obtain 模拟,injectInputEvnet 注入,易盾 Android 反外挂能力已经拥有了对这种模拟行为的检测能力。点击免费试用网易易盾反外挂产品

知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公,安卓加固,游戏安全,iOS加固,游戏,android

安装包:在上文中提到过的相关模块,都可以作为检测的依据。文章来源地址https://www.toymoban.com/news/detail-665728.html

到了这里,关于知物由学 | “群控软件”助长黑灰产套利的零和游戏,硬核技术打击隐秘的不公的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 抖音查举报记录?解密抖音查被举报记录灰产

    抖音查举报记录?解密抖音查被举报记录灰产【反诈骗,大家小心】 我们平时刷短视频/直播的时候,经常会刷到一些影响三观或者负能量的视频/直播,对于这种视频,看不惯的人会向平台投诉请平台对该视频进行处罚 例如↓ 侵权投诉我知道,那是实名公开的 但是举报投诉

    2024年02月05日
    浏览(24)
  • 苹果iOS群控系统的源代码分享!

    随着移动互联网的飞速发展,iOS作为其中的佼佼者,吸引了无数开发者的目光,iOS群控系统作为一种能够实现对多台iOS设备进行集中控制和管理的技术,受到了广大企业和开发者的青睐。 今天,我们就来分享四段iOS群控系统的源代码,希望能够为广大开发者提供一些参考和帮

    2024年03月10日
    浏览(41)
  • 【群控】通过adb命令实现接打电话&发短信脚本

    由于电信局有规定,手机号码长期不使用时会进入锁定状态(能接电话不能打电话,能接短信不能发短信),所以为了避免手机号被判定为僵尸号需要做一个定期互相拨打电话并且接通的脚本。 声明:本文只用作技术讨论,技术无罪。请勿使用该方法进行违法活动!!! 呼

    2024年02月16日
    浏览(33)
  • 期权的各种套利分类

    期权的交易策略主要可以分为两大类,一类是 交易标的方向 ,另一类是 交易波动率 目前市场上基本把所有不 考虑标的方向、纯交易期权波动率 的策略都统称为“波动率套利”策略。(做“波动率套利”的交易员们 不愿意(或没有能力)预测期权标的的涨跌方向,他们仅交易

    2024年04月10日
    浏览(29)
  • 套利策略样本外跟踪

    量化策略开发,高质量社群,交易思路分享等相关内容  『正文』 ˇ 日线版本: 15分钟版本: 1.计算套利品种价比的高开低收,不是价差。 2. 计算斜率,加一下过滤条件。 3. 每个品种要设置好相同价值的交易数量。 4. 计算移动出场. 含有 自动换仓模块,出场加速模块. 202

    2023年04月15日
    浏览(35)
  • 低风险稳健套利策略

      数量技术宅团队在CSDN学院推出了量化投资系列课程 欢迎有兴趣系统学习量化投资的同学,点击下方链接报名: 量化投资速成营(入门课程) Python股票量化投资 Python期货量化投资 Python数字货币量化投资 C++语言CTP期货交易系统开发 数字货币JavaScript语言量化交易系统开发

    2024年01月24日
    浏览(42)
  • facebook群控如何做?使用静态住宅ip代理有什么好处?

    在进行Facebook群控时,ip地址的管理是非常重要的,因为Facebook通常会检测ip地址的使用情况,如果发现有异常的使用行为,比如从同一个ip地址频繁进行登录、发布内容或者在短时间内进行大量的活动等等,就会视为垃圾邮件或者恶意行为,导致账户被禁用或者限制。 因此,

    2024年02月22日
    浏览(42)
  • 【Mquant】5:构建价差套利(一)

    价差套利是一种金融交易策略,通过利用不同市场或不同交易所之间的 价格差异 来获取利润。以下是价差套利的原理: 基本原则:价差套利的基本原则是同时在相关合约上建立一个多头部位和一个空头部位,以利用两个头寸之间的差值变化来获利。 跨交易所套利:在不同交

    2024年02月04日
    浏览(35)
  • TRB爆仓分析,套利分析,行情判断!

    毫无疑问昨日TRB又成为涨幅榜的明星,总结下来,多军赚麻,空头爆仓,套利爽歪歪! 先说风险最小的套利情况,这里两种套利都能实现收益。 现货与永续合约的资金费率套利年化资金费率达到惊人的3285%——DeFi的APY都没见过这么高的 ,每8小时结算一次,一天三次3%,过去

    2024年01月23日
    浏览(44)
  • CAPM (资本资产定价模型) APT(套利定价理论)

    横轴为风险(标准差sigma),纵轴为预期收益。 风险越高,收益就越高 这条C-M直线描绘的对于整个市场的收益,其对于单支股票并不适应,所以后面换了个横轴, 为单个证券对整个市场的联动性 σ i , M σ M frac{sigma_{i,M}}{sigma_M} σ M ​ σ i , M ​ ​ 。 也就是CAPM公式了 E [ R i

    2024年02月03日
    浏览(36)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包