虚拟机版程序指南

0 8

本页面正在建设中,将持续更新。

本文部分内容基于RessourectoR(cs.rin.ru网站管理员)的文章:

https://cs.rin.ru/forum/viewtopic.php?f=10&t=156407

我强烈建议至少阅读一遍。它比本页面更为复杂,涵盖的 security 主题也更加丰富。

什么是虚拟机管理程序破解版?

“Denuvo 虚拟机监控程序破解或绕过”是指利用极低层级的虚拟化技术(通常采用自定义或经过修改的虚拟机监控程序)来干扰保护机制对系统的监控方式。Denuvo 在很大程度上依赖于完整性校验、时序分析以及对调试环境或模拟环境的检测。基于虚拟机管理程序的方法使攻击者能够“潜伏”于操作系统之下,透明地控制CPU行为、拦截指令,并在不直接修改受保护可执行文件的情况下掩盖分析痕迹。

与其修补游戏二进制文件,虚拟机监控程序可以模拟或修改特定的CPU指令、伪造计时结果,或隐藏断点与内存变化,从而有效欺骗Denuvo,使其误以为一切都在一个正常且未被篡改的系统上运行。这使得该防护更难被检测或应对,因为其检查操作是在其可见范围之外进行的。这些方法极其复杂,通常由技术高超的逆向工程师来研究,因为它们需要对CPU虚拟化、内核内部机制以及防篡改技术有深入的了解。

官方规定,只有经过签名的驱动程序才能在如此底层运行。由于Denuvo虚拟机监控程序驱动程序具有盗版性质,它们永远无法获得微软认可的证书。因此,要使用这类“破解”工具,您需要对系统的安全设置进行一些特定的修改,具体如下。请注意,这些更改旨在临时生效,仅在您的游戏会话期间有效,退出游戏后应恢复原状。

基于Windows虚拟化的安全组件

在配备安全启动、TPM 2.0 以及硬件辅助虚拟化功能的现代系统上,Windows 10 和 Windows 11 大多*默认启用了基于虚拟化的安全性(VBS)等多种安全解决方案。VBS 是一个统称,指通过使用裸机型虚拟机监控程序——即 Windows 虚拟机监控程序——来创建隔离的虚拟空间,这些空间即使在操作系统已被完全攻破的情况下也能保持安全;相关安全组件便运行于其中,对操作系统进行监控或存储敏感信息。

以下 Windows 组件即为安全解决方案:

  • 内存完整性(HVCI):执行检查,以检测Windows内核代码中的恶意或至少是意外的修改,并限制可疑的内核内存分配。例如,RessourectoR设想,这可以防范那些以管理员权限运行并试图修改系统文件的恶意软件,或者防范用户运行的应用程序中的内存安全漏洞。
  • 凭据保护:将访问凭据(如密码、身份验证数据、生物特征数据等)存储在隔离环境中。
  • Windows Hello:支持通过短 PIN 码、面部识别或指纹扫描等便捷方式登录。RessourectoR 尚未找到该功能的直接来源,但其很可能更倾向于使用 Credential Guard 来存储高度敏感的数据。当上述某些组件被禁用时,它提供的登录方式往往会失效。此外,如果已启用系统防护功能,它也会受到该功能的保护。
  • 系统防护(安全启动):一种先进的系统加固框架,可保护操作系统启动过程,并系统管理模式(SMM,通常由BIOS用于运行硬件配置软件)免受(据称较为复杂的)Rootkit的攻击。此类Rootkit可能危及虚拟机监控程序本身,因此该防护机制借助现代处理器的多项硬件安全特性得以实现。在TPM 2.0的支持下,它还能够在系统启动后持续监测包括此处提及的其他安全组件在内的系统完整性,并可从远程系统对其进行验证。
  • 据RessourectoR所知,这属于前沿技术,且默认未启用。

* 即便硬件和启动要求均已满足,Windows 有时仍无法自动启用本应自动启用的功能,例如 VBS 和内存完整性。


如果没有 Windows 虚拟机监控程序,上述所有安全功能都将无法启用。按照设计,虚拟机监控程序无法被直接禁用。相反,所有需要使用 VBS 的功能都会主动提示必须启用 VBS,随后系统便会加载虚拟机监控程序。因此,我们必须禁用所有这些功能,以防止 Windows 虚拟机监控程序被加载。

还需要添加一个可防止 Hyper-V 加载虚拟机监控程序的启动选项。

我想玩那款新出的由Denuvo保护的游戏,把所有这些都禁用掉,再用虚拟机破解,安全吗?

并没有一个简单的答案。这仅是RessourectoR基于自身在以安全为核心的系统管理领域拥有十年经验、同时对游戏仅有业余兴趣的个人看法。

诚然,最常见的威胁来自伪装成下载按钮的窃密型恶意软件、会加密用户文件的勒索软件,以及被纳入DDoS僵尸网络。通常情况下,这类恶意软件在已获取所需信息后,便不再追求更高权限的提升或对硬件实施破坏。同样毋庸置疑的是,防范此类恶意软件的最佳手段,就是使用优质的广告拦截工具、访问可信网站,并加强用户的安全意识教育。

经验丰富的电脑用户往往因自己“很聪明”而成功避开恶意软件感染,从而产生一种虚假的安全感。他们认为,自己无需那些限制重重、令人厌烦的所谓“贴心”安全功能和杀毒软件,因为自己从未染上过恶意软件的记录已经“证明”了他们更懂得如何保护自己。他们还认为,更高级的威胁并非针对家庭用户,而是瞄准企业网络,因此普通用户无需过于担心。尤其对游戏玩家而言:虚拟化可能会降低系统性能,而这种影响是否明显也存在争议。

另一种观点:您将禁用那些历经数十年安全研究而发展起来的技术,无视专家们认为当今不可或缺的防护措施。您将主动放弃针对常见软件漏洞的防御机制;一旦遭遇更高级的恶意软件,它便能畅通无阻地渗透,使您的电脑长期沦为僵尸网络的一部分,或更轻易地感染局域网中的其他设备。如果大量用户为游戏场景——尤其是DSE和内存完整性保护——取消这些防护措施,那么作为家用Windows PC的主要应用场景之一,这种配置很可能成为恶意软件作者的重点目标。而HV破解的广泛使用甚至可能催生经过篡改的虚假版本,因为下载此类软件的用户往往会被预期禁用所有防护机制,包括杀毒软件的排除设置。采取防范措施并正确验证文件所需的知识与精力,均高于应对常见威胁时的水平,且潜在后果也更为严重。

除了已被禁用的Windows功能之外,即使您信任该虚拟机监控程序驱动程序的作者,并且自行从源代码编译,其代码中的严重漏洞仍可能瞬间赋予攻击者对您系统的最高权限且难以被察觉的访问能力。

那款游戏是否值得冒这些风险,最终还得由你自己来决定。

那些裂缝里有什么?

基本上,每一种现代的 Hypervisor 绕过/破解方法都由两部分组成:

  1. VBS.cmd:一种特殊的命令行脚本,用于检查您当前的系统设置,并对其进行修改,以使您的系统为HV破解做好准备。此脚本适用于所有HV游戏,且独立开发,不依赖于具体的游戏破解补丁。您可下载最新1.7.2版本:https://pan.quark.cn/s/03bd3807f4de?pwd=tpED 提取码:tpED
  2. 破解/绕过程序本身由可执行文件和动态链接库组成,负责实际绕过Denuvo保护,同时还包含其他附加的动态链接库,例如Goldberg Steam模拟器,用于突破底层的Steam防护。这些文件仅适用于其对应的特定游戏版本,无法在其他版本或其它游戏中使用。

先决条件

您的CPU必须支持以下两种虚拟化技术之一:Intel的VT-x,以及AMD的AMD-V(SVM)。

请在谷歌上查询您的CPU型号是否支持虚拟化,以确定您能否运行HV游戏。

在继续进行HV漏洞利用之前,请检查您的BIOS是否已启用相关技术。

我需要禁用安全启动或使用EfiGuard吗?

不需要。目前的HV绕过方法并不需要进行这些更改。