建议 資源外流管控：特徵密鑰機制

[apustyphoon]

 

 

[align=left]『』聽聞同盟內資源外流事情頗為嚴重，而同盟內尚無有效的手段以應變。所以就想了一個方法，看有無可行之處。[/align]

[align=left]『』本資源外流管控方式，只要由幾個要素構成：1、論壇特有離線解壓器、壓縮器，沒有解壓器就無法解壓。2、基於同盟成員唯一ID的密鑰生成器。3、密鑰烙印器、密鑰識別器。4、網頁動態文本控件。[/align][align=left]『』離線解壓器大概每一個月或半個月登陸一次，每次登入時會在解壓器中更新一次使用者的識別密鑰。該識別密鑰，主要基於使用者——SSTM用戶——唯一ID推算出來。每次使用解壓器解壓遊戲壓縮包時，解壓器會將使用者密鑰烙印在遊戲資料內隱而不顯的地方。如此以來，只要有人外流遊戲，那麼必然可從外流資源內識別出其密鑰，逆向追蹤外流者。[/align][align=left]『』如果發布者有心得話，可以一個遊戲壓縮多次，（不是一個遊戲分成幾個壓縮包；而是一個遊戲，用同樣的方法，不同的密碼，解壓成不同的壓縮包），不同壓縮版本在隱而不顯的地方打上壓縮包版本。然後壓縮包下載地址及對應的壓縮包密碼，放在一個序列中，灌入網頁控件。網頁控件依據用戶的不同、或用戶購買時間的不同，給予不同的壓縮包下載地址以及解壓密碼。如此一來，只要有資源外流，只要根據壓縮包版本就可以大概推算出外流者大概是那些用戶群組的、或什麼時候下載的。考慮到遊戲內容比較大，個人是建議只有遊戲核心部分（漢化文件、或一些必要遊戲資料）如此設置多版本壓縮。此外，考慮多版本壓縮步驟繁瑣，該功能應由論壇提供的壓縮器實現。[/align][align=left]『』綜合上述，如果同盟內用戶在解壓一個遊戲後，該遊戲就會有兩段特徵密鑰來標記出解壓者。相信這可以幫助論壇很方便地鎖定資源外流者。而此兩種密鑰（解壓者密鑰、加密版本密鑰）只要實作一個就可以了。從技術上而言，「解壓者密鑰」要設計ID演算法，屬高難度；而「加密版本密鑰」比較費工，雖然會由壓縮解壓器實現大部分操作，但還是屬於高煩度的（但比較容易實現就是）。[/align][align=left]『』最終，要強調的是。此機制僅負責加壓解壓遊戲軟件，不涉及遊戲內部的彙編使用；以免加劇漢化者的負擔。此外關於此機制，以我的能力恐怕無法提供任何代碼上的實現。（攤手，畢竟我只是一個高職畢業的人～）[/align]

＃注01：密鑰烙印時直接以字符碼或字節碼形式，寫入遊戲代碼文件中隱而不顯的地方。

 

[hide=600]『』考慮到同盟資源有限，「解壓者密鑰」到無須一人一個，大概一組人一個就好。而且也未必是需要靠ID來演算；只要在論壇內設置一個密鑰表就好了，裡面使用者分組和對應密鑰隨機生成指派即可。假設如果資源是同一個人流出的話，那麼不難根據外流資源逐步縮小範圍；當鎖定出高度可疑者時，在給其配個獨立特徵密鑰、用以查驗。

『』這裡要注意的是，特徵密鑰不一定代表當事人。有可能是我說的機制被發現，有人故意抽出特徵密鑰以嫁禍他人。（但原則上，每個人的特徵密鑰，大家都是互不知道的；但也不排除密鑰算法、密鑰用戶表被抓到～）另外，特徵密鑰得做出比較完善的校驗機制，以免誤會。考慮到「解壓者密鑰」未必絕對可靠，故所以再外加一個「加密版本密鑰」以補全。

『』最終從心戰角度講，我建議這個技術上留一個後門，允許在比較高階的破解手法下抹除特徵密鑰。如此，只要在網絡上發現外流又抹除特徵密鑰的資源時，就表示我說的方法被發現並破解啦。這個時候就算無法立即堵上漏洞，至少也可早點知道。同盟如果投入很大的心血於該機制並實現的話，對外也不要太過張揚，以免引起好事者破解。

[/hide]

 

[hide=1000]『』這個機制有一個罩門。即是「解壓者密鑰」演算法高明、論壇防火牆夠厲害；但用戶還是可以通過反編譯「離線加密器」以大概瞭解「解壓者密鑰」大概如何烙印的。但即使如此，「加密版本密鑰」的烙印密鑰機制與「解壓者密鑰」無關；所以當「解壓者密鑰」被抓出來時，「加密版本密鑰」仍可發揮作用。

『』如果論壇有充足資源的話，可以講遊戲核心部分加密彙編起來，在程序運行時不得不引用「解壓者密鑰」。但如果可以做到這一步，基本上可以開個小公司拿這個技術來賺錢了。[/hide]

[小魔女妮特]

 

 

{:10_642:}

首先妮特召喚一些人好了……

@c0821qoo @苍云静岳 @空空 @御曹司

 

或者看下下面的人的意見好了……

[苍刃君]

秘钥虽好，但是嘛除非做成病毒，不然任何隐藏式文件都不是无敌的吧，而做成病毒的话，直接被杀毒软件干掉了

[swjacjc]

認真認為，算了吧

大家的許多資源還不是外網錢空弄來的？

只有幾個大戶，或是我這種偶爾買遊戲分享的會買

 

外流擔心的是漢化吧

在怎麼樣搞，你生成的秘鑰檔案，我解壓縮之後刪除在打成rar不就好了？

不管在怎麼偽裝，又不是一個三五十g，檔案幾萬個的3A作品

稍微看習慣檔案的，要找出哪個是秘鑰檔並不難

砍了在自己打包就好了，還不是外流？

 

 

解壓出來是一回事，要搞到每個遊戲執行的exe都要先反編譯寫入秘鑰才能分享？那我還是不要買遊戲丟上來好了

 

 

反正我認為怎麼搞都沒差，到時候別來干涉到我pc的運作和隱私就好

[apustyphoon]

swjacjc 发表于 2016-4-17 18:56

認真認為，算了吧

大家的許多資源還不是外網錢空弄來的？

只有幾個大戶，或是我這種偶爾買遊戲分享的會買

『』密鑰是基於SSTM用戶名的，使外流者在外流資源時形同做了是SSTM內誰誰外流的印記。

『』密鑰的烙印是烙印在遊戲文件中的；你解壓就自然烙印上了，再壓縮也無用，解壓後還是有烙印。

[Sin]

和你說個笑話

discuz{:7_527:}

 

離線解壓器的話

有心還是能破解的

把那個烙印環節偷拔掉可能不會太難

反而是你浪費時間人力去設計這樣一個解壓器

 

[TimKevinrocket]

 

 

我提个问题....如果要把“使用者”的识别密钥写进游戏文件内，这是不是有点脑洞太大了？ 可能我的知识掌握不够，无法想象一个程序如何靠自己去反编译各种可能都不是同一种方式开发的游戏，然后把生成好的东西写进去，还有，与其根据外流资源内记录的“使用者”密钥来追踪是谁外流的，何不在使用者解压文件的时候将使用者信息记录到一个数据库中方便管理员定时检查呢，不过建立新数据库的办法估计对现在的sstm也不是很现实

 

而且，假设这种方法真的能够做到，如果某一个人拿了别人加压的资源去发布，到时候追踪到的人本来没有做出外流的行为，那岂不是就抓错人了么？

[TimKevinrocket]

况且，很多游戏文件本来就自带加密方式，你要写入新东西的前提是去破解游戏本身自带的加密，就算是手动做破解操作也是需要一些知识的，何况不同厂商的游戏说不定加密方式还不一样，编码风格也不一样，而且，资源不限于游戏，可能还有什么音声漫画之类的，这种情况下解压程序就必须构思N种写入识别密钥的方式，能把这种东西开发出来我想论坛估计也不会用社区动力的框架了吧233

[嘟嘟噜~]

粗略看了下，沒看完整（繁體字恐懼症+積分不够）{:7_515:}

我說小小的說下理解吧

拋開科技不談，這個方法對服務器的要求很高呐

不過不知樓主有沒有感覺同盟的網站down的幾率還是挺高的

這說明本身論壇所在的服務器可能就承受力不太好呐

如果再加上這個需要定時計算金鑰的功能

估計我們以後沒法登入聯盟了{:7_531:}

[布偶只是布偶]

......簡單講.....辦不到........{:7_503:}

 

樓主 說了一大串......最後卻說"以我的能力恐怕無法提供任何代碼上的實現"...............{:7_495:}

 

 

那麼.....理所當然地......可以無視掉吧........{:7_493:}

 

....

 

不然樓主提供一個可行的程序.......反正舊的 雷神7 版本,很多可以拿來當試驗品......{:7_522:}

[ベルンカステル]

@Saka 亞由認為很難薩卡大人怎麼看w

[apustyphoon]

布偶只是布偶 发表于 2016-4-17 19:42

......簡單講.....辦不到........

 

樓主 說了一大串......最後卻說"以我的能力恐怕無法提供任何代 ...

呵呵，沒辦法，我連用Java寫一個批量文本替代的小程序都要花兩個月⋯⋯而且才局部實現功能而已⋯⋯

[布偶只是布偶]

apustyphoon 发表于 2016-4-17 19:57

呵呵，沒辦法，我連用Java寫一個批量文本替代的小程序都要花兩個月⋯⋯而且才局部實現功能而已⋯⋯ ...

.......所以啦........其中不只一項難以執行的點................{:7_495:}

 

因此,建議收到了......但是實在是難以實現.................{:7_503:}

[zhengfe]

这个功能可以通过为每个用户下载的资源中的可执行文件添加独一无二（加解密密码）的加密壳来实现。这样只要能够得到泄露的样本，就可以确定流出渠道了。问题是实现起来十分麻烦啊，有谁有耐心为网站添加这种实现起来十分繁琐的功能啊？{:7_510:}

[布偶只是布偶]

zhengfe 发表于 2016-4-17 20:13

这个功能可以通过为每个用户下载的资源中的可执行文件添加独一无二（加解密密码）的加密壳来实现。这样只要 ...

流出渠道還有其他的........{:7_531:}

 

度娘 本身就是大部分分享者的平台........

 

有些高手根本不須有帳號就能取得汁源...........{:7_528:}

 

 

[zhengfe]

布偶只是布偶 发表于 2016-4-17 20:18

流出渠道還有其他的........

 

度娘 本身就是大部分分享者的平台........

论坛的资源分享渠道依靠外部网盘，论坛管理者无法操作分享的内容，只能靠资源提供者自身来做这些工作。{:7_513:}

想一想工作量就够头疼了。

[嘟嘟噜~]

zhengfe 发表于 2016-4-17 20:13

这个功能可以通过为每个用户下载的资源中的可执行文件添加独一无二（加解密密码）的加密壳来实现。这样只要 ...

仅仅是可执行文件似乎用处不大呐{:10_621:}

据偶所知，dlsite上很多用rpgmaker这些软件做出来的游戏，game.exe都是完全一样的，用一个通用版本替换这个exe也能玩，分享也没问题了{:10_631:}

感觉要防止盗资源真是一个技术活呢{:10_637:}

[1035405927]

最早面具就提出过游戏内置SS同盟账号登录机制，但是后来不了了之了不知道为啥

[zhengfe]

嘟嘟噜~ 发表于 2016-4-17 20:30

仅仅是可执行文件似乎用处不大呐

据偶所知，dlsite上很多用rpgmaker这些软件做出来的游戏，game. ...

针对不同的开发游戏工具，肯定要有不同的方法，.exe文件可替换的话可以给资源文件加壳。不过不论那种方法都无法保证万无一失，而且需要考虑大量的复杂情况也会导致 資源外流管控软件 开发成本的大幅提升。{:7_513:}

最主要的是，论坛本身不为资源下载提供空间，自然也无法使用技术手段来监控资源的流向了。（毕竟文件不在论坛的服务器上）

[zyc1985zgsy]

我个人觉得可行度不大，而且我 个人觉得这样的话会造成伸手党和资源党的各种麻烦。。。。。。

[呜喵呜喵]

{:10_634:}说了这么多，呜喵就想，这么做不会给同盟带来一定负面形象喵？本来大家就本着分享的精神而来的喵，大部分的资源也是在一定时限后可以搬运的喵，这样做是不是得不偿失喵？

[空空]

{:7_531:}虽然听不懂，但是感觉很累人，先不说行不行得通，再一个问题，谁来做？谁来提供技术支持？

[萨卡]

ベルンカステル 发表于 2016-4-17 03:42

@Saka 亞由認為很難薩卡大人怎麼看w

前面那些太操作复杂 现在准备的不就是最最后面一项么www

[swjacjc]

apustyphoon 发表于 2016-4-17 19:05

『』密鑰是基於SSTM用戶名的，使外流者在外流資源時形同做了是SSTM內誰誰外流的印記。

『』密鑰的烙印是烙 ...

 

所以我才說無理阿

你該不會認為遊戲文件的內碼很好寫吧？

寫入還要code看會不會導致運行出錯

 

你以為是txt那樣隨便加個代碼都沒問題的方式嗎？

 

你這樣只是會趕走其他分享者而已，老子咱是不會，也沒時間去給你搞這些東西的

 

 

講了一大堆，結果自己卻沒有能力實行，會不會把話講太大了？

 

 

[swjacjc]

zhengfe 发表于 2016-4-17 20:26

论坛的资源分享渠道依靠外部网盘，论坛管理者无法操作分享的内容，只能靠资源提供者自身来做这些工作。{:7_ ...

正確

不然除非是漢化，自購的要拿去別的地方就拿吧，別給我在ss丟出來就好

 

雖然我也沒分享過多少遊戲，但是要我還要多花時間上殼？算了吧