I reversed Tower of Fantasy's anti-cheat driver: a BYOVD toolkit never loaded
3 months ago
- #anti-cheat
- #kernel-driver
- #security
- 《幻塔》反作弊驱动(GameDriverX64.sys)未做混淆处理,容易被逆向工程破解。
- 该驱动存在薄弱认证机制:使用硬编码的32位魔术值、可绕过的DLL检查,以及存在缺陷的白名单验证。
- 漏洞包括任意进程终止(IOCTL 0x222040)和进程保护(IOCTL 0x222004),可能引发BYOVD(自带漏洞驱动)攻击。
- 该驱动未被游戏主动加载,降低了即时风险,但仍构成安全隐患。
- HVCI(虚拟机监控程序保护的代码完整性)限制可能是导致VMProtect混淆被移除的原因,从而暴露了驱动缺陷。