Genshin Impact, как и многие современные онлайн-игры, поставляет античит, включающий драйвер уровня ядра. Один такой драйвер стал широко цитируемым примером того, почему код уровня ядра — это настоящий компромисс безопасности.
Драйвер ядра внутри игры
Чтобы эффективно обнаруживать читы, античит Genshin устанавливает компонент, работающий в ядре Windows — самом привилегированном уровне системы. Оттуда он может глубоко осматривать память и процессы, что и делает античит уровня ядра эффективным против читов уровня ядра.
Когда драйвер стал проблемой
Исследователи безопасности задокументировали серьёзный случай: подписанный драйвер античита игры был использован злоумышленниками в так называемой атаке «принеси свой уязвимый драйвер». Поскольку драйвер был легитимно подписан и имел мощные возможности ядра, злоумышленники загружали его на целевые системы — даже системы, на которых игра никогда не была установлена — и использовали его, чтобы отключить защитное ПО перед развёртыванием программы-вымогателя.
Почему это важно
Урок не в том, что разработчик игры действовал злонамеренно. Урок о поверхности атаки. Любой широко распространённый, подписанный драйвер ядра — мощный инструмент. Если его можно загрузить независимо от игры и он имеет возможности, нужные злоумышленникам, он становится строительным блоком для атак, не имеющих отношения к читерству. Драйверу не нужно быть вредоносным, чтобы быть опасным — ему достаточно быть мощным и доступным.
Более широкий смысл
Этот случай — конкретная версия абстрактной тревоги об античите уровня ядра. Опасение никогда не было главным образом «игра за мной следит» — оно в том, что добавление большего количества привилегированного, подписанного кода на миллионы ПК расширяет поверхность атаки для всех, независимо от того, заслуживает ли сам код доверия.
Вывод
Драйвер античита Genshin — реальная иллюстрация компромисса античита уровня ядра. Эффективное обнаружение нуждается в глубине ядра — но глубина ядра, распространённая в масштабе, также является уязвимостью безопасности. Это самый ясный ответ на то, почему «это всего лишь античит» преуменьшает то, чем код уровня ядра действительно является.