Вопрос Escape from Tarkov — Детект Kernel драйвера (BattlEye)

[hex_cat]

Здорова, реверсеры.

Решил плотно залезть в C++ и ядро, цель — свой интернал под Тарков (EFT). Как вы знаете, без драйвера там ловить нечего, но столкнулся с тем, что BattlEye хлопает мою поделку прямо на старте.

Техническая база сетапа:
Драйвер маплю через kdmapper (никаких подписей, в реестре следов нет). В

DriverEntry

вызываю

IoCreateDriver

создаю объект драйвера и ухожу в

real_main

Там же создаю

device object

и симлинк для связи с юзермодом.

Коммуникация:
Общение идет через

DeviceIoControl

Юзермод открывает девайс через

CreateFile

шлет структуру

IO_REQUEST

с PID, адресом и буфером. В ядре парсим IRP и работаем через

MmCopyVirtualMemory

Ядерный R/W:

MmCopyVirtualMemory(
    s_TargetProcess, (PVOID)buffer->Address,
    PsGetCurrentProcess(), (PVOID)buffer->Buffer,
    buffer->Size, KernelMode, &copied
);

В юзермоде обычная шаблонная обертка. Проблема в том, что BE выдает инста-детект.

Подозрения на векторы детекта:

1. Сам kdmapper и его уязвимый драйвер iqvw64e.sys — он в блэклисте у BE уже вечность.
2. Метод связи через
   DeviceIoControl
   Даже с нейтральным именем девайса это палится через проверку объектов драйверов.
3. Использование
   IoCreateDriver
   для мапнутого драйвера — тоже сомнительная затея.

Кто плотно реверсил античит в EFT, что посоветуете? Стоит ли переходить на shared memory, юзать communication hijacking или вообще смотреть в сторону DMA, чтобы не мучиться с банами по железу после каждого теста?

Интересно услышать мнение тех, кто реально обходил BE в последнее время.