“末日永恒”使用的是Denuvo的新内核级反作弊驱动程序

2020-05-17 05:47:56

“毁灭永恒”成为最新一款使用内核级驱动程序来帮助检测多人比赛中的作弊者的游戏。

这款游戏的新驱动程序和反作弊工具来自德努沃的母公司爱迪德(Irdeto),该公司曾以近乎无与伦比的盗版保护而闻名,现在则以某种程度上有效但经常被破解的盗版保护而闻名。但新的Denuvo反作弊保护与该公司的Denuvo防篡改技术是完全不同的,后者使用代码混淆来阻止破解程序(这项技术在推出后不久就已经在Doom Etal上讨论过了)。

Irdeto在一篇宣布推出该工具的博客文章中表示,在为期两年的提前访问计划中,新的Denuvo和反作弊工具在无数个小时和数百万次游戏会话之后,面向末日永恒的玩家推出。但与Valorant的类似Vanguard系统不同的是,Denuvo Anti-cheat Driver没有烦人的托盘图标或闪屏,让玩家可以在自己的系统上监控它的使用情况。

为了消除任何潜在的恐惧,爱迪德写道,Denuvo Anti-cheat只在游戏活跃时运行,贝塞斯达的补丁笔记中也同样写着,内核模式驱动程序的使用在游戏启动时开始,当游戏出于任何原因停止时停止。这与Valorant的先锋系统有很大的不同,后者需要从系统启动时加载驱动程序,以便监控系统状态的完整性。

德努沃反作弊产品负责人Michail Greshishchev通过电子邮件告诉Ars,在多人比赛之外不会进行监控或数据收集。德努沃不会试图维护系统的完整性。它不会阻止作弊、游戏mod或开发工具。德努沃反作弊只检测作弊。";

Greshishchev补充说,该公司的驱动程序已经获得了知名内核安全研究人员的认证,完成了定期的白盒和黑盒审计,并接受了独立作弊开发者的渗透测试。他说,爱迪生还设立了一个漏洞赏金计划,以发现他们可能遗漏的任何漏洞。

Greshishchev告诉ARS,由于Denuvo Anti-cheat的设计,司机比其他可能更容易接触互联网的司机更安全。与现有的反作弊软件不同,Denuvo Anti-cheat不会从网络上流式传输外壳代码。这意味着,如果受到攻击,攻击者不能向游戏者的机器发送任意恶意软件。

他继续说,这些游戏机已经有了一大堆不合格的(安全方面的)管理服务,而且有活跃的互联网连接。来自鼠标和键盘供应商的驱动程序、照明和超频服务等。如果攻击者真的想危害游戏者的安全,他们会通过它们,而不是通过世界上最强大的防篡改软件。

Greshishchev告诉ARS,如果在野外发现了驱动程序漏洞,可撤销的证书和自动过期的网络密钥可以用作扼杀开关来切断它们。没有安全专家可以声称他们的解决方案是万无一失的,但我们的渗透测试、认证和安全审计远远高于任何合理的标准,他说。

内核模式驱动程序在多人游戏反作弊工具中的使用实际上相当普遍,这有助于确保可以检测并阻止试图修改游戏代码的低权限用户模式工具。虽然作弊者仍然可以通过使用代码签名漏洞来安装他们自己的内核级作弊工具来绕过这个问题,但是这个过程更加困难。

仅在游戏运行时加载内核模式防作弊驱动程序,就像Denuvo所做的那样,从安全角度来看,也与从启动时运行rootkit风格的防作弊驱动程序有很大不同。正如独立安全研究员萨利姆·拉希德(Saleem Rashid)在谈到Valorant的先锋安全驱动程序时告诉Ars的那样,后者为在用户不知情的情况下运行的系统级漏洞带来了更大的风险,创造了一个几乎没有好处的大攻击面。

尽管如此,末日永恒社区的一些成员对Denuvo反作弊工具的推出方式,或者他们认为它给他们的系统带来的安全风险感到不满。

Reddit用户extant_dinero在Doom subreddit上的热门帖子中写道,任何软件,特别是反作弊软件,都不应该拥有对你的系统的内核级访问权限,如果是,我们应该在购买之前得到通知。如果我知道它会被添加,我就不会买它了。仅仅因为其他软件可以做到这一点并不意味着它就是正确的。

但是Greshishchev告诉Ars,这样的恐惧是不必要的。他说,Denuvo Anti-cheat被设计成与NVIDIA的图形驱动程序或Steam的客户服务没有什么不同。与过去的反作弊不同,现在没有文件系统挂钩,不需要从操作系统开始,没有烦人的托盘图标或闪屏。

害怕未知是人类的本性,我们再多的技术主张也无法解决这一问题。信任是随着时间的推移而建立起来的,我们认为,当德努沃反作弊公司在您最喜欢的游戏中禁赛一名玩家时,我们将获得您的信任。