今年五月份的何评时候，《和平精英》公众号高调宣布一起重大 DMA 外挂案告破，价角我赶紧进去看看收获到底有多大 。洲行

一看人数 ，动目抓获了4人，外挂涉案金额300万。现象三角洲行动穿墙

一看过程，何评「异常游戏行为」+「结合热心玩家举报线索」+「公安网安大队协助梳理排查和技术溯源」
，价角这才堪堪把这个涉案4人的洲行「火神 DMA 外挂」破获。

我看完觉得:就这?动目

不至于这么热血澎湃 ，恐怕这对于市场上整个外挂团伙规模来说 ，外挂九牛一毛罢了

诸君放眼望去 ，现象诸如这样的何评DMA外挂团伙 ，以及流出的价角各类形形色色的外挂 ，多如牛毛，洲行根本抓不宠我还看到文章的末尾这样写:「后续,和平精英官方将联合腾讯游戏安全ACE推出【全民反外挂重金悬赏计划」。

可见，这是实在没招了，又是「热心玩家」、又是「网安大队协助」 、又是「全民重金悬赏」

破获了一个4人小团伙
，马上敲锣打鼓 ，妄想敲山震虎，劝退潜在的外挂制作团伙 。

可是 ，利益实在太高了 ，三角洲行动锁头插件绝无可能完全避免 。

而只要对方开始行动，你又无法解决，拿其没有办法，实在是无奈。

还是今年五月份的时候 ，我登录无畏契约9 ，发现系统弹窗询问我是否同意安装「反作弊预启动模型」我的第一感觉是，外挂猖狂到腾讯的TP(TenProtect)系统对于外挂的检测可能已经疲软，或者说无能为力 ，以至于不得不启动随 Windows 开机启动的所谓「反作弊预启动模型」了。

不同于以往跟随游戏启动的ACE(Anti-Cheat Expert)模式 ，这玩意打算跟随 Windows 操作系统开机启动 ，在操作系统启动阶段就开始加载，并开始检测和预防作弊。

对我来说
，当然是不会同意这套系统实时运行在我的电脑上，视奸我的行为。

不过
，这也引起我的一个思考，那就是，第一人称射击游戏的外挂，或许已经蔓延到止不住的地步了 ，本尊科技那怕是国内乃至全球范围内对于反作弊如此看重的腾讯  ，也进入一个有心无力的三角洲行动无后座插件状态。

大众化的 DMA 外挂 ，可以说目前也很难检测，难度和成本极高。更不用说
，那些花点钱来定制DMA 外挂的有钱人或者主播了 ，无从防起。

可以说，DMA 外挂绝对是现如今无法被解决的心腹大患，无论是《和平精英》
，还是《三角洲行动》--只要是 FPS 游戏，都不能幸免。

这其中非常重要的原因就在于，FPS游戏由于实时性要求 ，基本都将计算放在本地运行 ，服务器只负责接收状态和处理 。这就相当于别人把钱存在你家里了，那怕是加了保险柜 ，也总挡不住有心之人 。

然而，对于继续低延迟体验和大量物理操作的FPS游戏来说 ，把保险柜放在自己家是不现实的，因此，也就由此诞生了游戏厂商和外挂制作者之间道高一尺魔高一丈的反复不停的对抗 。

尤其是 DMA 这种外挂 ，它绕过了传统的三角洲行动物资透视插件反作弊检测逻辑 ，直接通过硬件层面读取和修改内存数据 ，不依赖驱动层，也不容易被内核监控拦截。

就目前来看 ，那怕官方更新了反作弊模块、加密了内存数据 ，外挂作者只需要更新固件或更换读取方式，就能再次突破防线。

更何况  ，制作和贩卖 DMA 外挂的产业链早已成熟:从硬件卡采购 、固件定制、到售后更新、甚至24 小时客服，全是标准化流程。

而且还是去中心化的，各个团伙都眼红，都在搞外挂赚钱 ，大家互不认识 ，甚至互相共享新的检测模块和渠道，你如何搞定这一切呢 。

搞不好外挂团伙还发扬互联网开源共享精神，交流下技术、分享下客源什么的(逃

这也是为什么 ，即便《和平精英》重金悬赏 、拉上警方、三角洲行动雷达插件发动玩家举报 
，收效仍然有限--你抓了一个团伙 ，很快会有新的团伙补位;你封了一个硬件型号，外挂团队会立刻转向另一个型号，甚至开始批量改造二手设备 。

在这种博弈中，游戏方注定永远是被动方，只能不断投入更多人力物力去追赶外挂技术的迭代速度，而外挂制作方却可以在灰色利益的驱动下，源源不断地涌现。

说到底:赛博保安是被动的，而外挂团伙绝对动力十足--都是钱啊!

外挂能卖钱;买了外挂的人能爽玩
 、能当主播赚钱
、甚至能当陪玩和保镖赚钱;普通玩家看主播大杀四方，或者找人陪护，自己爽吃 。

看起来除了游戏厂商 ，人人有的享受 。

所以 
，不管是《和平精英》还是《三角洲行动》
，乃至未来的任何一款 FPS 游戏，只要存在竟技排名和利益驱动 ，就永远无法完全杜绝 DMA 外挂--唯一能做的，只是尽量把它的影响降到最低而不是幻想「根治」了。

因此，三角洲行动飞天插件哪怕今天破了一个 DMA 外挂团伙，明天很可能就会出现[火神 Pro」 、「雷神」和「雷神X」，甚至更隐蔽的新型号。

相信我，这场猫捉老鼠的游戏，并不会因为一篇公众号推文就画上句号:而事实上，也确实并没有因此止步 。

很多玩家可能以为外挂只是「买个硬件、插上就能用」，大不了搞个副屏等等

但实际上 ，这背后有专门的渠道从海外批量采购 PCIE 或 M.2 接口的开发板，再由国内外团队进行固件烧录与外挂功能开发。

支付环节则往往通过虚拟而例如USTD和BTC等、洗钱平台、其至博彩网站来结算 ，整个过程层层加密 、断点交易，警方追溯难度极高。

因而，现实的是，DMA 外挂不仅仅是一个游戏内部的问题，它背后牵涉到跨境采购、灰色物流洗钱通道 、黑灰产上下游协作 、以及技术人力开发等等一整套完整地下经济网络。

即便是被抓获的外挂团伙 ，也往往只是产业链中的「末端销售」或「中转环节」，真正的核心技术开发者和上游硬件供应商 ，早已隐藏在境外安全地带
，继续支撑着新的外挂产品迭代 。

对于内存挂来说
，目前比较难处理的是DMA(Direct MemoryAccess)外挂，DMA搞出来
，原本是希望能让某些硬件子系统直接访问系统内存，无需CPU介入，这样可以解放CPU算力，减轻负担，把一部分任务分出去，让一部分CPU先闲下来。

不过，DMA反倒被外挂制作者所利用
，他们基于DMA设备(如PCIe卡)来直接读取或修改目标系统的内存，绕过基于软件层面的传统反作弊检测
。例如目前可以实现把DMA设备直接插到游戏主机的PCle插槽上，来直接读取或修改目标系统的内存数据 ，完全硬件层面的操作，很难检测和阻止。

接下来，可以通过DMA链接副机 ，分析内存信息，来实现透视
、自瞄和锁头等等。处理完内存信息后
 ，可以通过视频总线将画面传输到游戏主机上 ，来实现透视(同时可以分层
，方便主播直播，让观众只看到游戏画面，看不到外挂框);也可以直接看副机屏幕来操作;另外你甚至可以连接鼠标盒子，直接让副机传输鼠标指令(例如移动到敌人头部位置，并点射开枪)，你只需要坐在椅子上，看外挂帮你打游戏即可。

这东西，完全是另一台主机做的  ，和本机没关系 ，实难检测，仅限于本机的软件层面的检测几乎无法做到识别外挂 ，或者说能侥幸识别也可以轻易绕过 ，可以说 ，目前第一人称FPS游戏厂商对其检测几乎无法做到
。

此外 ，随着这几年计算机视觉技术的发展，将YOLO之类的CV模型训练来检测FPS中的人体骨骼实现自动描述，也不稀奇了，AI外挂现在早就盛行。只需要利用视频线把屏幕视频信号分出去
，基于硬件分出去后 ，用副机的AI模型做CV检测 ，然后将指令传回主机做锁头操作即可(利用CV模型的缺点在于屏幕看到什么，你就会看到什么，无法透视，但自瞄和爆头是不在话下的，这已经可以在FPS游戏里无敌了 。)

这些东西其实也都有各白的反作弊手段，如检测DMA硬件(当然硬件也会伪装为声卡等硬件) ，如搞反外挂AI模型(误判率会成为问题  ，成功率也有待商)。不过，还是刚刚的那段结论 ，实难检测，仅限于本机的软件层面的检测几乎无法做到识别外挂 。

因此 ，就目前来看 ，FSP射击游戏的外挂泛滥很难终结 ，可以说攻守之势异也，当下要进入外挂泛滥的天堂时代了。

我之前看三角洲和无畏契约 ，一套完整的DMA设备，搞下来可能都不到五位数人民币，实在是便宜。

只能说 ，第一人称游戏作弊屡禁不止的现状，我看还要持续很长一段时间了 。

综上来看 ，DMA 外挂不仅是游戏厂商的安全噩梦
，也正在成为网络安全领域绕不过去的一个灰色威胁源。

我认为，目前而言，这是场暂时看不到终点的对抗，所谓根治很可能只是一个美好的传说 。

游戏厂商更应该致力于考虑的是尽可能降低它对玩家体验和生态环境的破坏，而非安想一步到位为了无妄的目标荒废技术和人力。

对于游戏厂商而言，当下的出路不是幻想彻底永久地消灭外挂，而是接受这是一个永恒存在的威胁。共存 ，是被迫无奈的选择。

(芭芭拉语气.mp3前路漫漫，赛博保安冲呀!