Энтузиаст провел реверс-анализ античита Call of Duty, раскрыв детали защиты на основе Arxan: обфускация, шифрование указателей и методы дешифровки
Исследователь, известный под ником ssno, опубликовал подробный анализ пользовательского античита в игре Call of Duty: Black Ops Cold War.
По словам автора реверс-инжениринга, целью исследования не является поощрение читерства, поэтому некоторые детали были опущены.
Защита игры: Arxan
Одним из ключевых компонентов защиты игры является использование технологии Arxan, которая выполняет несколько функций:
- Дешифровка исполняемого файла во время выполнения: Arxan расшифровывает и распаковывает исполняемый файл игры при запуске.
- Проверка целостности: Постоянный мониторинг исполняемого файла на предмет изменений — при обнаружении несоответствий процесс завершается.
- Обфускация с помощью переходов (jmp): Разделение функций на части с использованием команд перехода, что затрудняет статический анализ кода.
- Обфускация точки входа: Сложность в отслеживании точки входа из-за внедрения обфусцированного кода, выполняющего распаковку и запуск основного кода игры.
Шифрование указателей
Важные указатели, такие как текущие игровые глобальные переменные, массивы сущностей и объектные указатели, зашифрованы и расшифровываются непосредственно перед использованием.
Существует 16 вариантов методов шифрования, выбор которых зависит от адреса PEB (Process Environment Block). Это усложняет анализ и предотвращает использование некоторых инструментов, таких как Cheat Engine, для поиска указателей.
Методы обхода
Для получения расшифрованных указателей исследователь предложил несколько подходов:
- Трассировка инструкций расшифровки: Использование инструментов для отслеживания процесса расшифровки указателей.
- Установка хуков: Внедрение в участки кода, где игра уже использует расшифрованные указатели, для их перехвата.