Гипервизор и Denuvo: как пираты обманывают самую мощную защиту
И как эти технологии связаны.
Еще пару лет назад взлом игры с защитой Denuvo занимал несколько месяцев, а то и лет. К тому же хакеры рисковали в любой момент сломать игру так, что и смысла от взлома становилось мало. А потом в мир пиратства ворвался гипервизор и перевернул правила взлома. Как так вышло? Давайте разбираться.
Содержание
Что такое Denuvo и почему его так сложно взломать
Denuvo – не просто проверка лицензии игры в магазине, а куда более сложная система. Ее главная задача – убедиться, что вы честно купили копию игры, и не дать запустить ее никому кроме вас. Для этого защита вшивается глубоко в программу и меняет ее под себя. Код обфусцируется (специально запутывается), данные шифруются, часть игровой логики может исполняться внутри отдельной виртуальной машины – все это усложняет отделение самой игры от защитных механизмов.
Но все описанное выше нужно только, чтобы спрятать Denuvo. Основная ее функция – постоянная связь с серверами. При первом запуске лицензионной копии система снимает цифровой отпечаток вашего компьютера: IP-адрес, список комплектующих и их серийные номера. Потом этот отпечаток хранится на сервере Denuvo. Когда вы запускаете игру снова, защита сверяет текущие данные с сохраненными.
Если же вы поменяете комплектующие, то Denuvo свяжется с магазином, где вы купили игру, проверит лицензию и обновит отпечаток. А если вы попытаетесь просто скопировать чужую папку с игрой – защита не найдет ваш ПК в своей базе, пойдет в магазин, узнает, что эту копию никто не покупал и откажет в запуске.
Как взламывают Denuvo
Самый очевидный способ расправиться с Denuvo – вырезать его из игры насовсем. Взломщик берет официальную сборку, декомпилирует ее и удаляет фрагменты кода защиты, постоянно проверяя, не задел ли он код игры. Но проблема в том, что Denuvo очень хорошо прячется, и убирать ее приходится почти вслепую.
Из-за этого полное удаление защиты из одной игры может затянуться на годы. Взяться за такую работу могут всего несколько человек во всем мире: с хакерскими навыками, готовые потратить кучу времени на неоплачиваемую работу и попутно нарушить закон. Но если Denuvo удален полностью, то игру можно запускать где угодно и когда угодно, без оглядки на серверы.
А что такое гипервизор
Чтобы понять как взламывают через гипервизор, нужно разобраться, что это вообще такое. Если очень упрощенно, он – прослойка между операционной системой и вашим реальным железом. Она работает на более низком уровне, чем сама ОС, и нужен для изоляции. Например, даже если вирус полностью захватит Windows, он не сможет пролезть сквозь гипервизор напрямую к процессору или памяти, и у вас останется возможность использовать компьютер, просто очистив систему.
Кроме того, гипервизор проверяет корректность драйверов и занимается множеством других скучных, но важных дел. И поскольку гипервизор – часть системы безопасности ПК, операционная система полностью доверяет ему. И именно это помогает в пиратстве.
Как работает взлом через гипервизор
Хакеры научились модифицировать гипервизор так, чтобы он изображал не ваш настоящий компьютер, а тот, на который когда-то была куплена лицензия (или любой, чей отпечаток успешно прошел проверку на серверах Denuvo). Дальше разыгрывается очень простой трюк:
Denuvo запрашивает у операционной системы данные о железе.
Операционная система переадресует вопрос гипервизору.
Модифицированный гипервизор берет заранее заготовленный «правильный» отпечаток и отдает его системе.
Система передает эти фальсифицированные данные Denuvo.
Защита видит легитимный отпечаток и пропускает вас в игру.
В итоге, если на полное удаление Denuvo уходили годы, то обход через гипервизор происходит за считанные дни. Код игры остается нетронутым, защита никуда не исчезает – ей просто подсовывают поддельные документы.
В чем минусы взлома через гипервизор
Но у этого метода есть несколько важных минусов. Модифицированный гипервизор – дыра в самой защищенной области вашего компьютера.
Во первых, несмотря на то, что вшить вирус прямо в гипервизор чрезвычайно сложно, но технически это реально, и вы рискуете нарваться на серьезные проблемы с ПК.
Второе – страдает стабильность. Гипервизор – важная часть системы, которая следит за корректностью работы драйверов, безопасностью и распределением ресурсов. Взломанная версия хуже справляется с этими обязанностями. На выходе вы можете получить просадки FPS на некоторых процессорах, синие экраны или повреждение системных файлов.
Так что сегодня Denuvo можно обойти без многолетних мучений с кодом. Но платой за доступ к игре становится безопасность и надежность всего вашего ПК. И если вы все же решитесь на такой эксперимент, пожалуйста, помните, что, модифицируя гипервизор, вы отключаете один из главных механизмов защиты своего компьютера.
***
