1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 《Valorant》反作弊软件会在系统启动时加载内核驱动程序

本帖由 漂亮的石头2020-04-16 发布。版面名称:新闻聚焦

  1. 漂亮的石头

    漂亮的石头 版主 管理成员

    注册:
    2012-02-10
    帖子:
    488,438
    赞:
    48
    几乎每一款热门网游,都避免不了因外挂使用者而破坏游戏体验。作为一场不断升级的攻防战,拳头公司旗下正在公测的《Valorant》,便启用了基于内核级驱动的 Vanguard 反作弊软件。然而这套反作弊系统的运行机制,还是引发了一些争议。

    [​IMG]

    据悉,在游戏启动时,Vanguard 客户端会将自身加载到用户空间中。此外有一个系统级的内核模式驱动程序,需要在Windows的启动过程中加载。

    拳头声称这是一个必不可少的行动,因为某些作弊软件也使用了同层级的内核模式驱动来逃避 Vanguard 的检测。由于需要更高的特权,常规应用程序就显得无能为力了。

    [​IMG]

    其实早在 2 月份的时候,拳头就解释了这套新机制,据说该软件最初是为《英雄联盟》而设计的。


    过去几年,外挂开发者已开始利用漏洞或破坏 Windows 签名验证,从而在内核级别运行其应用程序(或程序的一部分)。

    问题在于,以内核模式执行的代码,可以通过系统钩子来调用数据检索,使得常规的检测方法难以识别。

    甚至还有利用 DMA1 来读取和处理系统内存的专用硬件,使之彻底在用户模式眼前遁形。

    [​IMG]

    尴尬的是,以内核模式运行的驱动程序不仅会增加系统被攻击的风险,还可能导致全局范围内的不稳定,这也是许多可怕的 BSOD 死机案例的潜在诱因。

    独立安全研究员 Saleem Rashid 在接受 Ars Technica 采访时称:只要有这么做的驱动程序,就有可能为计算机引入安全和可靠性问题。

    在此模式下,我们无法实施常规应用程序中可行的漏洞缓解方法。除了游戏本身,漏洞还可能导致整个操作系统的崩溃。

    不过拳头公司辩称,其已与三家玩不安全公司签约,以便在软件投入应用前对其展开审核。

    其中一家甚至对系统开展了黑盒攻击,但最终并未得逞。此外拳头声称其安全团队可在数小时内发现并响应 Vanguard 遇到的任何问题。
     
正在加载...