首页
社区
课程
招聘
[原创]一种利用windows Virtualization-based security机制防范游戏外挂的方法
发表于: 2024-1-23 10:26 5132

[原创]一种利用windows Virtualization-based security机制防范游戏外挂的方法

2024-1-23 10:26
5132

一种思路,闲时想的,不太可能实现,仅供YY
一种利用windows Virtualization-based security机制防范游戏外挂的方法。
简述:GREEN ZONE 计划
若一个用户的windows系统内活跃的驱动和pcie设备均在白名单范围内,那么我们可以认为此用户是一个clean system user,没有使用游戏外挂。我们把此用户在本地和后台标识为clean system user。然后把这个标识信息实时共享给
游戏运营商,他们根据此信息将所有的clean system user玩家匹配在一起游玩。这样就为这些玩家提供了一个绿色的安全环境GREEN ZONE,免受外挂影响。此方案不会拦截驱动或设备,仅做标识。外挂用户依然用它的外挂,丝毫不受影响。
此方案优点:
1)Virtualization-based security vtl1 攻破难度极高,形成游戏外挂不可攻破的技术壁垒
2)游戏外挂没有驱动的辅助,只靠ring3的能力,根本打不过游戏反作弊软件。
3)除了一种外挂无法打击“旁路或串接显卡输出信号,对信号进行AI识图处理”,其他的均能有很好的效果。
4) windows系统借助已有的VBS功能,只需增加驱动加载时的白名单比对,以及硬件设备的监控,标识的维护,整体代码实现代价可控。
5)后台服务器、带宽以及白名单后期维护 代价可控。
6)正面积极收益高。

整体方案如下:
在Virtualization-based security的VTL1层内置一个驱动签名白名单,此白名单仅包含windows自身的驱动,主流主板/网卡/显卡/声卡驱动,常用办公软件驱动,主流游戏相关驱动,要求这些驱动100%不包含游戏外挂功能。(若白名单过多,可考虑云白名单)
在VTL1层定义一个标识 clean system user,具有两种状态,Y或N。它将以RSA公钥加密(防止上传过程中被篡改)保存在受保护的内存里,并受Credential Guard保护。
在用户登录系统后,将满足以下两个条件的系统在VTL1层将clean system user标识置为Y
1)当前已加载的驱动仅为白名单的驱动
2)主板pcie插槽上有且仅有一张显卡(规避dma外挂)
此标识会根据加载的驱动或安装的设备实时动态变化,确保此标识能正确反映当前系统是否符合clean system user的条件。系统将定时或随机间隔将加密的标识上传到后台。
后台将维护此用户的clean system user状态,并根据前面的上传间隔时间定义clean system user/Y的失效时间;但是 clean system user/N的失效时间要尽量长,可以设置成几十小时,在此期间即使收到clean system user/Y标识也不再更新成
clean system user/Y状态。失效时间的设计是为了避免通过卡时间或阻断标识上传通信而恶意绕过。

然后将 clean system user标识信息共享给steam等平台和游戏运营商,游戏运营商可以在为游戏开局分配队伍时,实时查询用户是否为clean system user, 并将这些用户分配到一起,这样就能保证clean system user有一个绿色的游戏环境。
随着白名单的不断运营与优化,以及 GREEN ZONE概念深入人心,会有越来越多的用户主动成为clean system user, 以及更多的游戏运营商加入,受游戏外挂影响的用户会越来越少,游戏环境会越来越好。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2024-1-24 11:21 被skypismire编辑 ,原因: 更严谨
收藏
免费 0
支持
分享
最新回复 (17)
雪    币: 10939
活跃值: (2895)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
2
有个新闻说显示器可以ai帮你显示过弯路线,也不知道是不是真的
2024-1-23 10:35
0
雪    币: 7513
活跃值: (5342)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
外挂无非透视,ai识别透视效果,确保自己截图流程不被修改的情况下,一抓一个准.
至于自瞄,没透视他也就比普通人带个鼠标宏强那么一点而已了
2024-1-23 15:48
0
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
lononan 外挂无非透视,ai识别透视效果,确保自己截图流程不被修改的情况下,一抓一个准. 至于自瞄,没透视他也就比普通人带个鼠标宏强那么一点而已了
对抗的路不好走,反其道而行之
2024-1-23 15:58
0
雪    币: 575
活跃值: (2145)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
pcie设备在白名单范围内就是白的吗
2024-1-24 11:04
0
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
Istaroth pcie设备在白名单范围内就是白的吗
设备是限制,pcie上插槽上只能有一张显卡
2024-1-24 11:19
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7

在Virtualization-based security的VTL1层内置一个驱动签名白名单,此白名单仅包含windows自身的驱动,主流主板/网卡/显卡/声卡驱动,常用办公软件驱动,主流游戏相关驱动,要求这些驱动100%不包含游戏外挂功能。(若白名单过多,可考虑云白名单)

我来举反例:
Windowsdenfenders:? ntoskrnl.exe:? winload.efi:? win32kxxx.sys:?  dell,asus全家桶:? ace-xxxx.sys:? mhyprot1234...sys:? 

还有特别提醒,还得是win11最新系统,不能是老系统(WIN10都不行),不能有系统更新,不能有BOOT变动,不能有WD,我的评价是,自研系统后不开源解决一切问题



2)游戏外挂没有驱动的辅助,只靠ring3的能力,根本打不过游戏反作弊软件。


根据这个可以判断楼主没见过battleye,M,E,W还有某些老外的弱智反作弊


送给楼主一张图:


最后于 2024-1-24 23:58 被killleer编辑 ,原因:
2024-1-24 23:49
0
雪    币: 2915
活跃值: (30836)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
感谢分享
2024-1-25 09:33
1
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
9
强调一下,是驱动签名 ; 你说的反作弊弱智,我说的是反作弊有驱动支持,能力比ring3外挂强
2024-1-25 11:22
0
雪    币: 29
活跃值: (765)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
可以给绿色玩家创造高概率性的无挂环境
绿色玩家=网吧玩家
感觉以kda区别匹配环境没啥区别
所以说你构想的机制没必要出现。
只要你构想的机制 没能实现百分之百0挂的 环境匹配 就是没必要开发这个环境匹配机制 不如kda匹配机制
2024-1-29 06:03
0
雪    币: 29
活跃值: (765)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
忘记说了 任何的反作弊是绝对不会实现0挂环境的。1、技术实力不允许 2、兼容性不允许 
3、工作不允许(没有诸葛亮就没有司马懿)
2024-1-29 06:11
0
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
wx_不够 忘记说了 任何的反作弊是绝对不会实现0挂环境的。1、技术实力不允许 2、兼容性不允许 3、工作不允许(没有诸葛亮就没有司马懿)
技术实力不允许?那是没有实现这套方案前,实现这套方案后,外挂驱动能力没有,没ring0能力它还能和反作弊软件平起平坐?
兼容性不允许?这个方案不拦截驱动也不阻止设备,系统还是你想怎么用就怎么用,你用外挂依然可以用啊。没什么兼容性问题。无非就是怕驱动签名白名单相对较少,绿色用户覆盖度不够充分而已。
2024-1-29 09:45
0
雪    币: 405
活跃值: (2240)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
PS5及其系统 满足所有需求。
2024-1-29 09:46
1
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
14
绿色玩家可不等于网吧玩家,我不知道你是怎么推过来的,
2024-1-29 09:46
0
雪    币: 446
活跃值: (550)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
利用intel的驱动漏洞,内存加载外挂驱动程序的外挂,你这种也处理不了。可以看看kdmapper的源码。
另外一些图形识别的外挂,不用驱动,通过大漠插件识别游戏颜色和文字自动控制角色行走,也无法处理
反外挂任重道远啊
2024-1-29 15:16
0
雪    币: 1285
活跃值: (1744)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
其实可以像传奇一样搞个内挂 大家都是透视自瞄 反作弊都不用写了 
2024-1-29 15:38
0
雪    币: 75
活跃值: (693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
17
wx_kevin_583366 利用intel的驱动漏洞,内存加载外挂驱动程序的外挂,你这种也处理不了。可以看看kdmapper的源码。 另外一些图形识别的外挂,不用驱动,通过大漠插件识别游戏颜色和文字自动控制角色行走,也无法处理 ...
漏洞还好吧;图形识别的确实没办法。
2024-1-29 15:40
0
雪    币: 29
活跃值: (765)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
skypismire 绿色玩家可不等于网吧玩家,我不知道你是怎么推过来的,
你收集一下用户数据 看看能不能实现你的目标 再看看实行起来有没有问题
2024-2-2 07:49
0
游客
登录 | 注册 方可回帖
返回
//