最近捕鱼游戏比较火，去几个平台玩过几次 ，发现都存在可以刷金币的问题。 漏洞存在于
，鱼的行动路径是保存在客户端的，炮弹发出去得不得金币也是客户端判断后发回服务端的 ，服务端也没有其他机制判断
，就将金币直接入库 。

目前发现三个版本的捕鱼游戏：

其中一款，path 文件直接暴露在外面 ，可以轻易的被替换；

另一款用自带的打包方式打包，但是打包工具很容易在网络上得到；

还有一款使用HGE的
，游戏资源用 zip 打包加密，游戏又用了强壳保护 ，dump 游戏以后
，发现解压密码也被加密，这些地方做的很不错 ，可惜在HGE暴露了一个漏洞
，使所有保护功亏一篑；

目前能想到的解决方法：

（1）path文件个头比较小，房间人数不多的话 ，可以考虑放到服务端
，动态发送

（2）zip打包，游戏做保护也还不错 ，最好客户端再做一些验证能校验文件是否被替换了