[レポート]チート対策コンパイラDeClangの自動テスト #denatechcon #techcon_11

DeNA TechCon 2021のセッション「チート対策コンパイラDeClangの自動テスト」のレポートです。チート対策コンパイラDeClangでどのような自動テストを行っているか紹介されていました。

#セキュリティ

#Amazon Game Tech

#ゲーム開発・運用

yoshihitoh

2021.03.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

2021年3月3日(水) に DeNA TechCon 2021 がオンラインで開催されました。

DeNA TechCon 2021 - 技術の力で事業の未来をリードする -

本記事は「チート対策コンパイラDeClangの自動テスト」セッションをレポートします。

スピーカー

株式会社ディー・エヌ・エー

システム本部セキュリティ部セキュリティ技術グループ

セキュリティエンジニア森槙悟さん

セッション概要

セッションページからの引用です。

DeNAではスマホゲームのチート対策として、チート対策コンパイラDeClangを内製で開発しています。ゲームのチートを防ぐには、DeClangが正常に動作しているか確認するテストが必要です。そのテスト自体も手動で行うとミスが発生しやすい上に手間もかかるため、テストを自動化し一定以上の品質を担保しなければなりません。一方で自動でテストを行うには、Mac, Linux, Windows, Android, iOSと各OSに対応させた上で自動でチートを行いそれが検知されるか確認する、つまりアプリのコード改ざんなどを自動で行う複雑なシナリオを実行する必要があります。また、OSS版と内部拡張版でリポジトリが分かれている点も対応が必要ですし、DeClang自体のビルドを高速に処理する必要もあります。この発表では、それらの問題にどのように対応し、クラウド上でDeClangの自動テストをいかに実現したかを解説します。

レポート

DeClangとは？

そもそもDeClangって何？
- DeNA + Clang
- 主にスマホゲームのチート対策
- コンパイル時に難読化・改ざん検知を埋め込む
- アプリコードは変更不要で、コンパイル時に埋め込む
IL2CPPでUnity C# → C++にする
- Android・iOS向けのビルドで Clang → DeClangに置き換える
- 過去の発表資料に詳細あり

動作確認

DeClangの動作確認

開発時の動作確認
DeClang自体が正常に動くか確認したい
- 追加した機能が動くか？
- サポートしてる環境で動くか？
- デグレードしてないか？
- 毎回QAチームにコード改ざんしてもらうのは非現実的

手順

OSS版をClone
内部拡張のプラグインをクローン
DeClangをコンパイルする (CMakeとかMakeとか)
NDK・XcodeのコンパイラをDeClangに差し替える
Android・iOSアプリをコンパイルする
アプリのコードを改ざんする
実機をPCにつないでインストールする

動作確認する

手順が多く複雑、1環境だけでも数十分かかる
手順を少しでも間違えると確認できない
- ビルドキャッシュとか
自動でテストしたい
- クラウドに移行をすすめているので、できるだけクラウドで実施したい
自動テストの難所
- アプリのコード改ざん
- クラウドの各OSでアプリをインストール・動作確認
各OSへの対応
- Mac
  - Bitriseを使う
- Linux・Windows
  - AWSのEC2 + Jenkins
- Android・iOS
  - headspinを使う
Bitrise (Mac対応)
- モバイルアプリに特化したCIプラットフォーム
- Mac・Ubuntuが利用可能
- Xcodeのバージョン指定できる
- テストフロー
  - 社内のGitHubへの接続設定
  - Provisioning Profileを設定 (署名できるように)
  - リポジトリのクローン
  - DeClang本体のビルド
    - ビルドに1時間ぐらいかかる
    - ccacheでビルド時間短縮、2回目は5分ぐらい
    - キャッシュはS3とsyncする
  - テスト本体
    - Bats + HeadSpin
Jenkins (Linux・Windows対応)
- EC2で環境構築してAMIを作成する
- EC2 PluginでそのAMIのノードを作る
- Windows版はMSYS2を使う
- Mac・Linuxと処理を共通化するため (Bashで)
- 他はBitriseと同様
HeadSpin (Android・iOS対応)
- Android・iOS実機用のデバイスファーム
- 専用端末が安定して動作する
- WebUI・APIで実機を操作できる
- アプリのテストにAppiumを使える
- AppiumはSeleniumのアプリ版みたいなもの
  - HTTPでコマンド送信してアプリを操作する

テスト内容の詳細

コード改ざん検知機能とは？

チートはフックでアプリの処理を変えることが多い
- コンパイル後のバイナリは機械語を書き換えることで改ざんすることができる
- 関数の先頭をジャンプ命令に書き換える
- DeClangは対策として関数の機械語の列がコンパイル時点と変わっていないか検査する
- コード改ざんを検知した場合は指定された関数を呼び出す
どうやって自動で改ざんするか？
- 文字列を置き換えるsedコマンドでOK！
- 改ざん対象の関数を用意して目印となる数値を埋め込んでおく
- LLDBなどでディスアセンブルして即値ロードの命令を確認する
- 即値ロードの命令を sed コマンドで書き換える
- コード例

# movz w3, #0x1f3e -> movz w3, #0xffff
xxd -p sample.so | tr -d '\n' | sed s/c3e78352/e3ff9f52/ | xxd -r -p > ${temp_file}
cp ${temp_file} sample.so

改ざん完了後にリパッケージする

複数のテストシナリオへの対応

テストしたいシナリオが複数ある
- 改ざんした場合に検出ログが出るか？
- 改ざん後正常に動いてるか？
- 指定した関数を難読化しているか？
Batsを使って各テストに試したいシナリオを書く
- Bats = Bash Automated Testing System
- シナリオに複雑なものが多く、bashスクリプトとassertで
- Pythonとか他のコマンドでも良いけど、コマンド呼び出しが多く他の言語を使うメリットが薄い
Batsを使ったテストのシナリオ例