架设游戏“私服”赚钱，抓！

来源：新余网警

当下

我们的工作生活

已经离不开互联网

日新月异的信息技术

给我们带来了诸多的便利

但也有不法分子利用互联网

通过种种手段

破坏网络秩序

从中非法获取利益

侵犯群众的财产安全

真实案例

近日，某科技有限公司负责人张先生报案称：“桃园忘忧——风风传奇”网络游戏的经营者在未取得相关授权的情况下，利用本公司官方游戏版本，私设服务器进行非法运营并攫取巨额利润，严重侵犯了公司的著作权和商业利益。

（图片来自于网络图片）

接到报案后，民警立即对该私服游戏进行调查，经过专业司法中心鉴定，“桃园忘忧——风风传奇”游戏与报案人公司所运营的官方游戏版本存在实质性相似。经过持续地深挖细查，办案民警逐步摸清了该案犯罪事实和嫌疑人员，并锁定了嫌疑人的身份信息及活动地点。随即，民警立即远赴山东省滨州市、黑龙江省哈尔滨市两地，分别于8月7日、8月12日将该团伙成员赵某某、孙某某抓获归案。

抓捕到案

经查，该私服游戏由犯罪嫌疑人赵某某（男，32岁，山东滨州人）经营，2022年年初至2023年7月份，赵某某在网上购买“桃园忘忧”源代码后，简单修改后更名为“桃园忘忧——风风传奇”，后在租用的服务器上运行。为吸引更多的游戏玩家，赵某某通过某聊天软件召集了孙某某、于某某（尚未到案）等人，以游戏直播的方式进行宣传。运营私服游戏期间，赵某某等人非法所得230余万元。

目前，犯罪嫌疑人赵某某、孙某某已被公安机关采取强制措施，案件正在进一步侦办中。

这是典型的黑客窃取源代码从中滋生的产业链，近年来，伴随网络游戏产业的繁荣发展，架设低成本、高利润的网络游戏“私服”行为层出不穷。在未经著作权人授权，非法获得源代码后设立的网络服务器，本质上属于网络盗版，不仅极大损害了游戏开发商、运营商的合法权益，还严重破坏了我国网络游戏市场的管理秩序，甚至因缺少有效监管而滋生网络违法乱象。

对于游戏公司而言，不仅要抵御黑客攻击、排查自身的安全漏洞，还要加强源代码保护。

黑客犯罪的危害

黑客犯罪的危害体现在：一是造成经济损失，黑客通过攻击服务器、窃取敏感信息、篡改数据库、销售假冒商品等方式，实现非法获利；二是造成数据泄露，一旦手机、电脑等被黑客控制，个人通讯录、聊天记录乃至网上银行账户等信息，都可能被窃取；三是造成系统性破坏，一旦黑客侵入或攻击重要信息系统，致其丧失功能或数据泄露，将严重危害国家安全和公共利益。

黑客犯罪的主要手法

随着互联网不断发展和信息技术的快速更新，黑客犯罪手法不断升级，危害网络和数据安全，主要手法：一是DDOS攻击，即使用大量数据包消耗服务器可用资源，致使网络服务瘫痪；二是网络勒索病毒，即以邮件、木马程序、网页诱饵等形式发送给目标用户并引诱其点击，待用户电脑感染病毒后即启动特定加密算法锁定用户数据。三是漏洞利用，黑客通常会利用软件或系统中的漏洞进行攻击。这些漏洞可能是未及时修补的软件缺陷，黑客通过利用这些漏洞获取系统权限。

新余网安聚焦黑客犯罪的新特点、新手法，不断健全部门协同、警种合作、警企协作、立体化打击整治长效机制，持续加强研判分析，提高打击精度，集中力量打击和帮助信息网络犯罪等各类黑客犯罪团伙。

网警提醒

虽然游戏行业赚钱，但君子爱财取之有道，切莫一时贪念触及法律底线， 切记，莫伸手，伸手必被抓!

Rootkit病毒利用“天龙八部”私服传播，可劫持网页

近期，火绒威胁情报系统监测到一种Rootkit病毒正通过“天龙八部”游戏私服进行传播。该病毒通过劫持用户访问的网页来推广自己的私服网站，并且具有广告推广功能。此外，其还采用多种对抗手段来对抗杀毒软件查杀，对用户构成较大威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。

查杀图

用户登录“天龙八部”游戏私服后，Rootkit病毒会被释放，随后进行网页劫持、广告推广等恶意行为。用户再次访问“天龙八部”相关网页时，会跳转到指定的私服网站，该病毒的执行流程，如下图所示：

病毒执行流程图

一、样本分析

病毒功能的分析

初始化阶段

Rootkit病毒被加载后，会先将自身复制到Driver目录下，并添加注册表启动项，相关代码，如下图所示：

复制自身到Driver并添加注册表启动项

之后，在驱动模块中会向C&C服务器请求配置信息，成功从C&C服务器获取配置信息后，该Rootkit病毒将这些配置信息整合并添加到各个恶意功能的链表结构中，有些配置会进行加密并保存到注册表中（网页劫持规则、要拦截的驱动列表）。在执行恶意功能时，Rootkit病毒会根据对应链表中的配置信息来确定执行的具体行为和方式。相关代码，如下图所示：

请求C&C服务器配置信息

获取到的相关配置信息，如下图所示：

配置信息

病毒自我保护策略

为了降低被检测和清除的可能性，该病毒将自身伪装成系统驱动pci.sys。这种伪装策略使得它在运行时能够混淆在正常系统进程中，让安全人员进行排查时容易疏忽，相关代码，如下图所示：

伪装成系统驱动

从火绒剑中可以看见有两个pci.sys驱动，如下图所示：

火绒剑

该Rootkit病毒还会通过Hook FSD (文件系统驱动) 设备对象的方式来保护自身不被读取和修改，来躲避杀毒软件的查杀，相关代码，如下图所示：

HOOK FSD保护自身不被读取和写入

该病毒还会通过直接向文件系统驱动（FSD）发送 I/O 请求包（IRP）来打开其自身，然后持续保持相关句柄不释放。这种策略将导致恶意驱动无法被删除，从而达成了其自我保护的目标，相关代码，如下图所示：

保护自身不被删除

为了防止注册表项被删除，该病毒会注册一个关机回调，如果不存在专杀工具的话，就会重新添加一个注册表项，相关代码，如下所示：

关机回调函数

还会添加一个模块加载回调，该回调中会根据C&C服务器下发的配置信息，来拦截指定的驱动文件，大多数Rootkit病毒都使用该功能来拦截杀毒软件驱动，相关代码，如下图所示：

模块加载回调拦截指定驱动

该病毒除了采用各种自保策略保护自身外，还会创建一个独立的监控线程来持续检测系统进程，检查是否有专门的杀毒工具在运行，如果发现专杀工具运行就会减少恶意行为，相关代码，如下图所示：

检测专杀工具

病毒推广策略

在受害者打开指定进程时，会弹出相关推广网页，该病毒在应用层模块和驱动层模块都实现了该功能。

应用层网页推广功能

驱动中会释放随机文件名的应用层模块到Sytem32目录中，通过注入Winlogon进程中执行WinExec来调用该模块，相关代码，如下图所示：

释放应用层模块

在应用层模块中会向C&C服务器请求配置文件，获取进程以及对应的推广链接，在监测到某进程存在后会打开指定推广链接。获取配置信息代码，如下图所示：

获取配置信息

在调试过程中C&C服务器并未下发相关推广配置。当用户打开配置中指定的进程时，会弹出指定推广网页，相关推广代码，如下图所示：

弹出指定推广网页

驱动层网页推广功能

该病毒会添加一个进程回调，在回调中实现类似应用层模块功能，在指定进程启动后会弹出指定的推广网页，相关代码，如下图所示：

网页推广

网页劫持策略

该病毒使用WFP网络过滤驱动来劫持用户访问的天龙八部私服到黑客指定的私服，WFP网络过滤驱动相关代码，如下图所示：

添加WFP过滤层

在FWPM_LAYER_STREAM_V4过滤层中会监听http请求，会判断访问的网页是否需要劫持，如果需要进行劫持就会记录相关数据流信息以及劫持的网页，相关代码，如下图所示：

判断是否需要劫持

该病毒实现网页劫持主要通过以下三种方式:

1.修改http请求将目标网站改成劫持的网站；

2.修改http请求重定向到劫持的网站；

3.直接修改网页返回的内容显示劫持网站，

网页劫持相关代码，如下图所示：

网络劫持代码

二、附录

C&C：

HASH：

“贪玩蓝月”：广告很low，还有人玩？

“贪玩蓝月”相信大家都非常熟悉吧，经常在浏览网页的时候就跳出来张家辉，穿戴奇怪的装备，讲着简单粗暴的广告词。为什么这些看起来仿佛没有任何技术含量的广告词，却依旧能够给这款游戏带来流量呢？本文笔者将详细为你分析：为什么广告这么low的游戏还有人玩？

传奇，一款承载着70、80后和一少部分90后青春记忆的游戏。或者说这已经超越了游戏的概念，给予我们的是青春、热血的情怀。

本人94年党，04年小学四年级的时候才接触到传奇游戏，而且当时大多是同学几个人去网吧，玩玩私服，开变速齿轮，买符飞比奇、盟重、刷蜈蚣洞，战士半月烈火、法师雷电火墙、老道大狗群毒。

虽然我当时玩的不太好，可当时，这就是潮流。有句话叫做：“网吧十人，八人传奇，一人聊天，一人CS。”可能大家看到现在也不太清楚，“传奇”类游戏究竟是一种什么样的概念，那么相信下面的台词和画面大家绝对是耳熟能详的：

“大扎好，我系轱天乐，我四渣渣辉，探挽懒月，介四里没有挽过的船新版本，挤需体验三番钟，里造会干我一样，爱象节款游戏！”“点一下，玩一年，装备不花一分钱！”“古天乐绿啦，古天乐绿啦，惊喜不断，月入上万。等级能提现，装备换点钱。”

ps：不看不知道，现在甄子丹也加入了…….还有甄子丹区服。

没错这就是威武霸气，声名远扬，无论玩不玩都能喊出它的广告语的页游界翘楚——“贪玩蓝月”。

说起来，“贪玩蓝月”能把广告做到现在这样人人都知道这个梗，从商业宣传角度来看，无疑是一次巨大的成功，我们的每一次吐槽都是对于它的一次承认。

广告这么low，还有人玩？

然而，有人会笑说为何在各种高流量的网站能持续看到此类广告？这类游戏能赚什么钱？这种游戏有人玩？

事实证明：还真有人玩，并且传奇类游戏总是能掏更多的人民币去买下更好位置的广告位，请古天乐、渣渣辉这样的大牌明星代言。

先给大家看一组过气数据：（抱歉，我只能找到这么多）

2016年12月，《贪玩蓝月》单款游戏月流水突破6500万，高居联运平台之首。2017年《贪玩蓝月》单款产品日流水突破400万，月流水突破6000万。2017年开服总数19912 页游年度第一。2017年流水10亿+ 页游年度第一。

上图只是每日开服表中的沧海一粟……而且，贪玩只是众多代理平台中较为出名的。

结果…….肯定是挣钱了的，商业项目不是做慈善。

挣钱就意味着：ARPU（人均用户付费）大于人均CPA成本（这里指用户通过各种途径得知并进入游戏）。

如果没查过细致数据很多人可能会大跌眼镜：这种游戏ARPU有那么高？从哪能赚那么多钱?

下面我会结合一些数据资料来分析一下：“贪玩蓝月”的目标用户筛选与营销，看是哪一类群体被其吸引，使得这类产品得以存活于世。

精准定位目标人群与营销

先说一个很正常的例子：有一个大R，每日充值两万，充了快一年了，游戏用户运营以游戏内好友身份问他，为什么冲这么多啊？

对方的回答大体意思就是：家里面厂子不用自己管，年产值几个亿，在一个三线城市，没有娱乐活动。35岁了，学习新游戏学不明白，反应和玩法跟不上时代了，之前的娱乐就是出去唱歌喝酒，一天消费几万块，家里人也担心喝出来问题。这回玩游戏，花很少的钱，玩的也挺爽，有好几百个人叫我大哥一起玩，家人也不担心半夜回家晚了，在家玩游戏老婆也不担心是不是外面有人了，玩页游多好啊，性价比最高！

别以为上述的编的，大佬们图新鲜每隔几天就换新区并持续充值的多了去了。（很真实，keep real）

无论什么产品，都需要确定目标用户是谁 。

贪玩蓝月的目标人群定位为：27岁以上的75后和80后中老年人（我大学室友也玩了好一段时间）。因为贪玩蓝月属于传奇类页游，《传奇》最早出现应该在2001年、2002年的时候，可以称得上中国游戏发展史上第一个获得空前成功的游戏。

贪玩蓝月非常精准的洞察了27岁以上中年人群对《传奇》的怀旧和对青葱岁月的怀念。

90后和00后呢？

他们对游戏的画质和玩法等要求是极高的，页游的画质和玩法他们是很难会接受。并且如果你鄙视传奇类，那你已经不是他的目标用户。

先来看一下百度指数的2017.1到2018.12的用户年龄以及性别分布图（截至发稿19数据还未开放）：

这一品类游戏不是给新玩家玩的，更多的是给曾经体验过传奇游戏的玩家用一种比较低廉、傻瓜式的方式获得二次体验——就是我们俗话说的“炒冷饭”。

而营销的核心为什么会选择以《古惑仔》系列为首的港片明星？

因为这两者有着一个很明显的交叉：在2000年初的同一时期火遍大江南北。

这一次交叉就体现出营销甚至是项目本身所要提供的核心服务，只有两个字：回忆 。

抽象的总结完后，把这些关键词细化到一些具象化的词语里。首先，年龄段基本就锁定了基本没有90后及90以后的人，目标群体的年龄段应该是在2000年左右度过青春年华的人（因为追忆青春是人类永远最爱做的事儿），这年龄段基本锁定在75和80后两个年龄段（特点1 ）。

性别？

——男性为主（特点2 ），因为很少有女性玩家去玩这一品类，要相信就算是以前砍过传奇的女人她们的生命周期到了这个节点基本是以孩子为生活重心。而且，大部分女性不会以此作为回忆的主基调，女生的梦大部分是冒着粉色泡泡的，这一点可以参考目前爆火的乙女向游戏。

游戏层面的素养以及鉴赏能力较低（特点3 ）：很简单，鉴赏能力正常基本不会玩。而且游戏相关的素养和知识水平基本是呈正比关系，因为越聪明的人越能把这些文化创意类产品与艺术挂钩。

当然，这也是游戏被称为第九大艺术的原因。而且这和城市有着一定关系，因为现代社会是脑力密集型产业为主，一线大城市知识水平高的人的占比基本高于其他城市。所以，城市在此也能锁定：三线及以下城市为重点照顾对象（特点4 ）。

付费能力？（特点5 ）一开始肯定是没有什么太好的预期的，只能说越高越好。从结果论来说，无疑是非常成功的。而且付费的预期和广告投放的成本规划是有一定关系的。

闲暇时间？较多（特点6 ）。因为有闲暇时间同时还呆在电脑旁边的人才会无聊点击渠道广告进入页游。

随口举例：70后的一位到处跑的企业家会有时间这样玩儿？基本没有。所以，需要用户有一定的空余时间守着电脑，并且脑海里追忆青春。

美国政治家、科学家本杰明·富兰克林有一句名言：“很多人25岁就死了，直到75岁才埋进土里。”

这里其实已经得到了充分体现，很多人25岁之后的岁月其实就是拿来缅怀25岁的青春。伟大的毛主席在1926年离开故乡韶山前往广州的时候写出著名的词——《沁园春·长沙》里也有这么一句：“忆往昔峥嵘岁月稠”。

所以，到这里其实已经建立了一个非常清晰的核心目的：“贪玩蓝月”希望给有余钱、中年无聊希望追忆青春、鉴赏水平中等偏低、三四线城市、看过《古惑仔》以及玩过《传奇》的男性私营业主或者比较闲的公务员创造一个回忆的想象空间，并依此赚钱。

ps：我感觉自己真的老了，留给中国队的时间不多了……

痛点营销

确定痛点，制定营销策略。

确定营销目标，然后针对目标用户感兴趣的点或需求进行营销。

25岁以上的75后、80后们对于玩页游的需求和兴趣点就在于“情怀”和“兄弟情”，就像现在玩LOL的同学们在大学毕业后还会在周末一起约“开五黑”。所以，“贪玩蓝月”将营销宣传策略定在宣传“怀旧 ”和“兄弟情 ”上。这点也确实在“贪玩蓝月”的广告词中，进行了落实。

全渠道推广+“神广告”传播，low广告的目的是过滤用户。

“贪玩蓝月”采取的策略是最大限度买量，在尽可能多的平台和渠道上投放广告，可谓是铺天盖地！随后张家辉的一段港普广告更是让这款游戏红了。

不管是不是故意为之，这都告诉我们：广告语需要制作得容易让年轻人传播些！（画重点，期末考试必考）

low广告吸引的是：愿意为游戏买单的用户。审美要求较高的高知群体即便玩了这个游戏，也不会为其充值！

我们觉得的low不是low，只是我们不是目标群体，我们可以尽情调侃这款游戏，嘲笑和恶搞它洗脑式的广告，但其实我们做的这些不过是帮人家做免费宣传罢了。

跟踪营销形势发展，追加措施，放大影响力。

《贪玩蓝月》走进大众视野是因为它的广告，能收获现在的热度，成为全民热梗，既有偶然因素，也少不了后期营销推动。搞笑视频极其容易引起二次传播，引发大视频平台的大V进行模仿传播，扩大影响力。

原视频内容引爆->大V模仿二次创作->表情包、漫画、段子扩大影响力->自媒体文章解读、评论->严肃媒体评论曝光->大众熟知。

这样的结果是“贪玩蓝月”在更大范围中得到进一步传播。

带给我们的启示&总结

1. 确定目标用户，定位更精准

了解用户是制作内容之前最关键的一步。确定了目标用户，你的内容才能戳中观众的痛点，引起他们的共鸣。

从用户画像中我们可以清楚地看到：观众的性别、年龄、地域分布，了解他们的星座以及兴趣爱好，深入了解目标用户后，制作内容就有了方向指导。从他们的痛点和需求下手，你的内容才能击中用户。

2. 根据更深利益痛点做营销

充分了解目标用户之后，如何进一步击中用户的痛点？

需要我们直接说出进一步的利益——即进行利益升级。

《贪玩蓝月》的广告也能给我们带来不少启发，“当年兄弟依旧传奇”、“只要玩过传奇，我就是你的兄弟”，这些广告语中不断重复的兄弟情义正是一种利益升级。它在告诉你这款游戏不只是好玩，它能够唤起用户年轻时和好兄弟一起玩游戏的青春记忆。

再举一个通俗易懂的例子，有一个段子是这样的：

用户想要的不是一个钻孔机，而是一个孔；用户想要的不是一个孔，而是一个插在孔里的钉子；用户想要的不是一个钉子，而是一个用钉子挂在墙上的相框；用户想要的不是一个相框，而是一个幸福美满的家庭。

这个例子正是对利益升级的最好解释。

对于内容创作者来说，我们都知道引起共鸣才能打动用户，从而引起用户的进一步传播，但大部分节目中共鸣的点只浮于表面。而没有深挖观众真正的需求，也就是没有进行利益升级，那这个共鸣点对观众的吸引力就不够，也很容易被模仿。

创作内容是门需要精钻细研的学问，任何一个环节的变动都会影响最终的传播效果，重视用户画像和用户共鸣，才能做出更精准的内容，进一步打动用户（希望我也可以多积累，写出更好的文案 ）。

作者：胡桃夹子，微信公众号：产品菜鸟（ID：pmzhaojq）

本文由@胡桃夹子 原创发布于人人都是产品经理，未经许可，禁止转载。

题图来自Unsplash, 基于CC0 协议