Защита Denuvo взломана через гипервизор, компания обещает контрмеры

Последние несколько недель в интернете не утихают обсуждения нового способа обхода знаменитой системы защиты Denuvo. Метод стал настолько популярным, что пиратские релизы теперь выходят в день официального запуска игр, а репаки уже защищённых тайтлов посыпались один за другим. Современные версии Denuvo с многослойным подходом к DRM долгое время считались золотым стандартом защиты ПК-игр, и новый обход ставит под угрозу основной источник дохода компании-разработчика Irdeto.

Irdeto направила заявление изданию TorrentFreak, в котором сообщила, что уже работает над контрмерами. Компания пообещала, что обновлённая защита "не повлияет на производительность" и не будет глубже интегрироваться в операционную систему. Ремарка о производительности отсылает к давнему скандалу, когда проверки Denuvo вызывали скачки нагрузки на процессор, приводя к заметным фризам и просадкам кадровой частоты.

Как это обычно бывает с DRM-компаниями, Irdeto также заявила, что использование обхода несет угрозу безопасности пользователей – и в данном случае у компании действительно есть весомый аргумент. Для работы гипервизорного обхода пользователям необходимо отключить сразу несколько критических механизмов защиты Windows: безопасность на основе виртуализации (VBS), Credential Guard, принудительную проверку цифровых подписей драйверов, а также целостность памяти ядра (HVCI). В сети уже шутят, что легче купить игру, чем сделать все эти шаги.

Защиту Denuvo в Doom: The Dark Ages взломали

Capcom не удалила Denuvo в Resident Evil 4, а заменила на Enigma – производительность упала еще сильнее

После этого поверх Windows устанавливается сторонний гипервизор, работающий на уровне привилегий выше самой операционной системы (кольцо -1) и подделывающий ответы на проверки Denuvo.

Когда все эти защитные барьеры сняты, любое вредоносное ПО получает практически неограниченный доступ к системе, который крайне сложно обнаружить даже антивирусными решениями. Более того, сам гипервизор может содержать собственные уязвимости, эксплуатация которых даст злоумышленникам контроль на уровне, недоступном даже операционной системе. При большом желании любой создатель репаков может вшить вредоносный код и украсть все данные с системы.

Пиратское сообщество осознает эти риски: в репаки включены скрипты для быстрого отключения и повторного включения защитных механизмов, а рекомендуемая процедура предполагает деактивацию перед игровой сессией и активацию после неё с перезагрузкой. Однако на практике это неудобно, и вряд ли большинство пользователей будет каждый раз утруждать себя подобными манипуляциями. Даже команда, разработавшая гипервизорный обход, и известные репакеры вроде FitGirl открыто предупреждают о рисках, а тем, кто не готов жертвовать безопасностью системы, придется ждать появления полноценного взлома, которые в последние годы совсем не выходят из-за продвинутой защиты.