Hacker News
A security researcher details their process of reversing the anti-cheat driver for the game Tower of Fantasy, discovering that a BYOVD (Bring Your Own Vulnerable Driver) toolkit was present but never actually loaded.
AI 生成摘要
一位安全研究員詳細介紹了他們逆向工程《幻塔》遊戲反作弊驅動程式的過程,發現其中包含一個 BYOVD(自攜易受攻擊驅動程式)工具包,但該工具包實際上從未載入。
這篇文章源於開發者對《幻塔》(Tower of Fantasy)反作弊驅動程式的逆向工程分析。作者發現該驅動程式雖然在某些版本中並未被實際加載,但其本身存在嚴重的安全漏洞,包括暴露的 IOCTL 介面與薄弱的身份驗證機制,這使得該驅動程式成為典型的「自帶漏洞驅動程式」(BYOVD)攻擊工具,甚至已被觀察到被惡意軟體用於勒索攻擊。
Hacker News 的討論首先聚焦於這類反作弊驅動程式所帶來的系統性風險。有留言指出,這類驅動程式已成為 Windows 系統主要的安全性威脅,甚至有研究顯示該驅動程式已被用於實際的勒索軟體攻擊中。這引發了關於開發者責任的激烈爭論:一方認為遊戲工作室若缺乏編寫安全內核驅動程式的專業知識,就不應貿然開發這類具備高度權限的軟體,這如同不具備專業能力的醫師不應進行手術;另一方則辯稱,內核級反作弊是目前唯一有效的手段,要求所有遊戲開發商都具備頂尖的內核安全專家並不現實,這類平台安全責任應由作業系統開發商(如微軟)承擔。
針對解決方案,社群提出了多種技術路徑的想像。部分討論者建議微軟應在 Windows 中內建標準化的反作弊支援,例如透過硬體保護的虛擬機器(VM)或獨立的超管理器分區(Hypervisor Partition)來運行遊戲,將其與主作業系統隔離,並利用 IOMMU 保護記憶體以防止惡意 DMA 設備。然而,這種「平台鎖定」的構想也引發了對通用計算設備自主權的擔憂,有觀點認為這會讓 PC 變得像行動裝置或遊戲主機一樣封閉,限制了使用者的控制權。
此外,關於反作弊的必要性與替代方案也產生了分歧。有留言懷念過去由社群經營私有伺服器並進行人工檢舉與管理的時代,認為現代遊戲過度依賴自動化內核驅動程式是為了追求全球匹配效率與商業利益,卻犧牲了使用者的系統安全性。但反對者指出,現代大型伺服器的管理成本極高,單靠志工或人工審核已無法應對專業化的作弊產業,且許多私有伺服器(如《我的世界》或《絕對武力》)最終仍會要求使用者安裝第三方反作弊軟體,顯示出這是一個難以迴避的技術僵局。
最後,討論也觸及了開發流程的荒謬性。有留言諷刺地提到,儘管微軟設有嚴格的驅動程式簽名審核流程(EV 憑證),但像《幻塔》這樣充滿漏洞的驅動程式依然能順利通過審核並發布。這反映出目前的簽名機制僅能驗證開發者身份,卻無法保證程式碼的安全性。對於使用者而言,內核級反作弊軟體本質上與惡意軟體無異,因為它們都具備繞過作業系統所有控制權的能力,這使得在實體機器上運行這類遊戲成為一種巨大的安全賭博。