随着网络的普及，网络游戏产业作为互联网的支柱产业得到了迅速的发展，它作为一种娱乐方式，融入到了人们的日常生活中，形成了以游戏为核心的“网络文化”。在其迅速发展的同时，网络游戏产业也面临着外挂这个棘手的问题。外挂的出现，破坏了游戏的平衡，加速了玩家的流失，损害了游戏厂商的利益，对整个游戏行业带来了消极的影响。外挂具有制作难度低，检测难度高等特点。如何检测外挂已经成为整个游戏安全行业研究的焦点。由于外挂检测技术直接影响到游戏厂商的经济利益，公开发表的研究参考资料有限，外挂检测技术难度较高。本论文就是针对上述问题，以外挂的检测技术作为研究对象，在代码保护技术原理的基础上，提出了一种基于变形的网络游戏外挂检测技术，目的是实现一种自动的，准确的，安全的外挂检测方法。自动是指不需要过多的人工参与就能检测出外挂；准确是指外挂运行时能根据外挂的运行特点准确检测出来；安全是指检测代码经过保护，不易被分析人员分析出外挂检测的逻辑。因此，本论文的主要工作为：1.深入分析和研究了目前的外挂技术，介绍了外挂的发展历史，依据外挂的运行原理，将外挂分为了三类，即鼠标键盘模拟类外挂、处理内存类外挂和处理封包类外挂，并对每种外挂使用的技术原理进行深入的剖析，从中获取检测外挂的方法。2.研究了现有的外挂检测技术，包括GM巡逻，玩家举报，数据封包加密，客户端异常数据检测，服务器异常数据检测，验证码等方式，总结了这些技术的不足之处，并在此基础上提出了一种检测代码分离的检测方法。3.分析研究了了现有的代码保护技术，包括软件加壳技术，反调试技术，虚拟机保护技术，代码混淆技术，变形多态技术。根据检测代码运行的环境，本论文选取了病毒变形多态技术来保护检测代码。利用变形多态技术，检测代码可以不受到运行环境的限制，而且代码经过变形之后，能很好的迷惑分析人员4.设计并实现了基于变形的外挂监测引擎CheatMutector，这种技术部署在服务器与客户端上。外挂检测代码是分离的，不直接存储在客户端上，它由服务器生成，经过变形后发送给客户端，客户端接收到检测代码后再加载执行。在执行过程时，客户端等待服务器的检测请求，收到请求时执行对应的检测代码并将结果发送至服务器，服务器收到结果处理后，作为游戏升级与惩罚外挂的依据。最后并对CheatMutector相关实验测试。