最新研究显示，黑客通常会绕过微软Windows内核保护，在竞争性网络游戏中作弊。伯明翰大学的学者们对游戏作弊和反作弊系统的工作原理进行了技术分析，并进行了市场调查，在三个月的时间里分析了欧洲和北美的80个作弊销售网站。

　　这项工作在Sam Collins， Marius Muench， Alex Poulopoulos和Tom Chothia的论文“反欺骗：攻击和客户端防御的有效性”中进行了描述，该论文于10月18日在盐湖城举行的“在人在最后（MATE）攻击背景下的进攻和防御技术研究”研讨会上发表。

　　在世界上大多数地方，销售游戏作弊并不违法，尽管一些作弊销售网站已经被游戏开发者起诉，理由是这些作弊行为侵犯了原始游戏的版权。

　　研究人员发现，游戏作弊软件是以订阅模式销售的，一个月的使用费用在10美元到240美元之间。研究人员保守估计，被调查的80家网站的年收入总和在1280万至7320万美元之间，仅在这些网站上购买作弊软件的人数每月就有3万至17.4万人，这使得这成为一个利润丰厚的在线灰色市场。

　　研究人员调查了网络游戏作弊所用的技术，以及“反作弊”技术。大多数现代反作弊引擎以最高权限运行在Windows内核中，与反病毒等应用程序一起运行。

　　软件只有经过微软的批准和签名才能在Windows内核中运行。这使得它比用户正常运行的软件更强大。内核级软件的一个例子是Crowdstrike系统，它最近失败了，导致互联网的大部分瘫痪

　　虽然微软允许在内核中安装反作弊软件，但研究还显示，作弊软件通常利用Windows保护的弱点将自己“注入”内核，从而获得更高的权限。许多技术反映了恶意软件和反病毒领域中常见的情况，只是动机不同。

　　论坛讨论和实际测试表明，作弊开发者通常通过利用易受攻击的第三方驱动程序来绕过Windows内核保护措施的弱点，从而允许作弊软件在内核中站稳脚跟。

　　这使得他们可以绕过反作弊软件的保护，允许用户在竞争激烈的在线游戏中作弊，如《堡垒之夜》、《英勇骑士》和《Apex英雄》，所有这些都需要每月支付订费。这种内核注入技术以前在高级勒索软件攻击中被观察到，在主攻击之前禁用反恶意软件保护。

　　研究人员发现，他们所研究的每一款游戏都有作弊手段，这意味着没有一个反作弊系统是牢不可破的。该团队开发了一系列测试来衡量每个反作弊解决方案的有效性，结果发现《英勇战士》和《堡垒之夜》的防御能力最强，而《反恐精英2》和《战地1》的防御能力最差。将这些结果与市场分析进行比较，他们发现反作弊措施的力度与打破该措施的作弊行为的价格之间存在很强的相关性。

　　该项目的首席研究员萨姆·柯林斯（Sam Collins）说：“看到在这种情况下部署如此先进的攻击，真是令人着迷。它与勒索软件等更传统、更有害的恶意软件形成了有趣的对比。”

　　合著者Tom Chothia教授补充说：“研究作弊和反作弊可以更好地理解Windows的保护。虽然没有任何游戏具有牢不可破的反作弊机制，但作弊者必须花更多钱才能在防御更强的游戏中作弊。游戏反作弊在Windows内核中起作用，游戏作弊的完全可用性告诉我们，Windows内核保护并不像许多人想象的那么好。”

　　Marius Muench博士进一步指出，“令人惊讶的是，在游戏作弊和防御背后存在着大规模的经济，尽管有明确定义的攻击者和防御者模型，但这在很大程度上被网络安全社区所忽视。”

　　游戏作弊被认为是一种Man-At-The-End （MATE）攻击，攻击者完全控制了系统。与传统的病毒/反病毒情况不同，最终用户是攻击者，将帮助攻击成功，而不是试图阻止它。这项工作代表了MATE攻击被大规模交易和部署的一个重要例子。

　　更多信息：Collins等人。反作弊：攻击和客户端防御的有效性，CheckMATE '24 (2024), www.cs.bham.ac.uk/~tpc/Papers/AntiCheat2024.pdf由伯明翰大学提供引文：Windows内核防御不足以阻止利润丰厚的游戏作弊市场，研究表明（2024,10月21日）检索于2024年10月21日https://techxplore.com/news/2024-10-windows-kernel-defenses-lucrative-game.html本文档受版权保护。除为私人学习或研究目的而进行的任何公平交易外，未经书面许可，不得转载任何部分。内容仅供参考之用。