На прошлой неделе компания-разработчик популярной игры Street Fighter V, Capcom, представила обновление, вводящее в игру новую систему защиты. Разработчики представили этот механизм как решение для защиты от кряков (но не DRM), которое было создано чтобы «не дать пользователям взламывать исполняемые файлы». Также сообщалось, что новый механизм защитит игру от атак на адреса ячеек памяти, которые часто используются злоумышленниками для читерства и обманного получения внутриировой валюты.

«Новое анти-крякерское решение не требует подключения к сети и позволяет играть в оффлайновом режиме. Однако при каждом запуске игры от игрока потребуется подтверждение. Фактически данный шаг является хендшейком между исполняемыми файлами и зависимым драйвером, предваряющим запуск», — писали разработчики Capcom.

Именно драйвер, который требовало установить обновление, и смутил многих пользователей, которые в итоге провели собственное расследование. Оказалось, что обновление запрашивает у пользователя разрешение на установку драйвера capcom.sys, который оперирует на уровне ярда системы. По сути, данный драйвер умышленно отключает ряд ключевых защитных функций Windows, чтобы иметь возможность беспрепятственно наблюдать за происходящим в ядре и отслеживать работу известных читерских методик и инструментов.

Один из пользователей Reddit пишет, что всё самое «интересное» связано с обработчиком IOCTL, который проверяет управляющие коды 0xAA012044 и 0xAA013044, производит проверки, связанные с размером буфера, отключает SMEP (Supervisor Mode Execution Protection), а затем выполняет любой код, проводя его через буфер IOCTL с привилегиями ядра.

Игровое сообщество отреагировало на эту новость очень остро. На Reddit драйвер называли не иначе как бэкдором, и пользователи создали множество постов о capcom.sys и способах его удаления. В итоге разработчики Capcom были вынуждены срочно откатить выпущенное обновление и извиниться перед игровым сообществом:

«Сейчас мы откатываем меры безопасности, которые были добавлены в ПК-версию Street Fighter V [с последним обновлением]. После отката весь новый контент из сентябрьского обновления по-прежнему будет доступен игрокам. Мы приносим извинения за доставленные неудобства», — сообщили разработчики.

2 комментария

  1. Jeffrey Davis

    28.09.2016 at 10:40

    драйвер называли не иначе как бэкдором

    А что такого? Надо же как-то следить за соблюдением правил. А на самом деле подобным образом должна вести себя любая мало-мальски серьёзная коммерческая прога для Windows. Поэтому не надо пользоваться Windows и прогами для неё.
    А играть надо на приставке.

  2. Andeangl

    08.10.2016 at 18:42

    «который оперирует на уровне ярда системы»

    Ядра?

Оставить мнение

Check Also

Промежуточные сертификаты позволяют следить за пользователями Firefox

Исследователь Александр Клинк установил, что промежуточные сертификаты можно использовать …