暴雪和黑客的战争四：暴雪的杀手锏－The Warden

本来想写点儿别的东西。但是看来大家还是对外挂比较感兴趣，就接着再写写吧。

1.10时期的成功，使得一些黑客不免自我得意，Mousepad甚至扬言，暴雪应该请他来做hacks检测。
2005 年8月1号，暴雪正式发布1.11 patch，紧接着在9月13号又更新到1.11b，宣告了1.11时代的到来。从功能上来讲，1.11相对于1.10的改变，远远小于1.10相对于 1.09d的改变。最大的变化在于anti-hack机制，可以这么说，在某种程度上1.11是冲着黑客来的。暴雪下了不少功夫。比如游戏代码的编译器由原来的VC6升级为VC 7.1(VS .NET 2003)；很多原有的内部函数在新的编译器下都inline化；全局优化的增强、寄存器更加有效的使用导致反汇编代码可读性变差；大部分关键数据结构的内存布局进行了重新排列；还有所有游戏DLL的导出函数的序号全部打乱重新编号，等等。不过这些改变对于技巧纯熟的黑客来说算不了什么，我只花了一周的业余时间就把d2hackmap从1.10移植到了1.11。最大的改变，无疑是引入了Warden System。

The Warden，据ZoiD（D2 zPickit的作者，WC3、Diablo II和WOW的游戏黑客）的说法，最初出现在WC3（魔兽争霸3）中，后来引入到WOW，最后在1.11 patch中引入D2。这种说法应该是可信的，我在研究1.11的一段跟Warden有关的汇编代码时，赫然看到过Maiev.mod的字样（见文末）。Maiev Shadowsong正是魔兽争霸3中的英雄之一－The Warden（典狱官）。值得指出的是，D2中的Warden机制和WOW的非常相似，因此这里对warden的分析也同样适用于WOW。

1.11中的hacks检测机制，除了1.10时期就有的version-checking.dll/extrawork.dll和memory probe （packet 8F），还增加了Warden system。Warden的基本原理是在进入游戏后服务器端会发送一个warden检测模块（通过packet AE，warden检测模块类似于DLL）给客户端，随后warden检测模块在客户端运行，监控客户端状态并定期（大约每隔不到一分钟）返回检测结果。原理有点类似version-checking/extrawork机制，不同的是warden检测模块设计的非常紧凑且传输时经过压缩处理，这样有效地减轻了网络传输负担，而且在客户端经过简单处理就可运行，不需先存到本地。另外，warden client和server端的传输都是加密的。

Warden的出现，对黑