Categories
科技報導

《Valorant》反作弊軟件會在系統啟動時加載內核驅動程序



幾乎每一款熱門網游,都避免不了因外掛使用者而破壞遊戲體驗。作為一場不斷升級的攻防戰,拳頭公司旗下正在公測的《Valorant》,便啟用了基於內核級驅動的 Vanguard 反作弊軟件。然而這套反作弊系統的運行機制,還是引發了一些爭議。

1.jpg

據悉,在遊戲啟動時,Vanguard 客戶端會將自身加載到用戶空間中。此外有一個系統級的內核模式驅動程序,需要在 Windows 的啟動過程中加載。

拳頭聲稱這是一個必不可少的行動,因為某些作弊軟件也使用了同層級的內核模式驅動來逃避 Vanguard 的檢測。由於需要更高的特權,常規應用程序就顯得無能為力了。

2.png

其實早在 2 月份的時候,拳頭就解釋了這套新機制,據說該軟件最初是為《英雄聯盟》而設計的。

過去幾年,外掛開發者已開始利用漏洞或破壞 Windows 簽名驗證,從而在內核級別運行其應用程序(或程序的一部分)。

問題在於,以內核模式執行的代碼,可以通過系統鉤子來調用數據檢索,使得常規的檢測方法難以識別。

甚至還有利用 DMA1 來讀取和處理系統內存的專用硬件,使之徹底在用戶模式眼前遁形。

3.jpg

尷尬的是,以內核模式運行的驅動程序不僅會增加系統被攻擊的風險,還可能導致全局範圍內的不穩定,這也是許多可怕的 BSOD 死機案例的潛在誘因。

獨立安全研究員 Saleem Rashid 在接受 Ars Technica 採訪時稱:只要有這麼做的驅動程序,就有可能為計算機引入安全和可靠性問題。

在此模式下,我們無法實施常規應用程序中可行的漏洞緩解方法。除了遊戲本身,漏洞還可能導致整個操作系統的崩潰。

不過拳頭公司辯稱,其已與三家玩不安全公司簽約,以便在軟件投入應用前對其展開審核。

其中一家甚至對系統開展了黑盒攻擊,但最終並未得逞。此外拳頭聲稱其安全團隊可在數小時內發現並響應 Vanguard 遇到的任何問題。