RiotGames的新团队射手Valorant有一个名为“先锋”的反盗版系统,引起了一些安全问题。 当游戏启动时,Vanguard客户端将其加载到用户空间中。 但是,系统有一个内核模式驱动程序,当您启动到Windows时加载。
Riot声称,它需要这样做,因为一些作弊软件使用内核模式驱动程序来逃避检测。 由于需要更高的权限,常规应用程序无法检测内核模式驱动程序。
回到2月,Riot解释了新的反盗版软件,最初设计用于传奇联盟,以及为什么需要它。
“在过去的几年里,欺骗开发人员已经开始利用漏洞或损坏Windows的签名验证来在内核级别运行他们的应用程序(或其中的部分)。 这里的问题产生于这样一个事实,即在内核模式下执行的代码可以钩住我们将依赖的系统调用来检索我们的数据,修改结果以使我们可能难以检测的方式显示为合法。 我们甚至看到了专门的硬件,利用DMA1读取和处理系统内存-一个向量,做得很好,可能无法从用户模式中检测到。
在内核模式下运行驱动程序引起了人们的担忧,即Riot只是以增加Windows的攻击面为代价,在根级上改进其欺骗检测。 如果你回想起2005年索尼D RMrootkit的惨败,这种风险水平可能会让你紧张。
基于内核的驱动程序还可以创建全系统的稳定性问题,从而带来可怕的BSOD(蓝色死亡屏幕)。
独立安全研究人员Saleem Rashid对Ars Technica说:“只要你有这样的司机,你就有可能向计算机引入安全和可靠性问题。 “您在设备驱动程序中的应用程序漏洞并不像在正常应用程序中那样多,而且一个错误会破坏整个操作系统,而不仅仅是游戏。”
Riot称,它与三家外部安全公司签订合同,在软件投入使用之前对其进行审计。 其中一个甚至对系统进行了“黑匣子”攻击,但没有成功。 它还说,它的应用程序安全小组可以在几个小时内发现和应对先锋的任何问题。
在对Riot使用基于内核的驱动程序进行欺骗检测的决定过于担心之前,请记住,它并不是唯一使用这种技术的开发人员。 battheye,一个流行的第三方反欺骗解决方案,将自己描述为一个“基于内核的保护系统”。 最值得注意的是,像绝地求生和方舟这样的游戏:生存进化使用了战眼。 Fortnite使用了Easy抗热,它也以类似的方式工作.. 到目前为止,这些系统没有重大的安全问题。
用户觉得这样的系统是一个交易破坏者,可能会想要传递一个价值。 先锋将很快被雇佣在传奇联盟。 那些已经玩过类似Fortnite和绝地求生这样的游戏的人,他们使用了类似的、但又是单独的缓解方法,他们可能会想说:“还有什么?” 但是,如果你认为基于内核的驱动程序类似于你房子上的门,那么你就能准确地看到这意味着什么。