Гайд Векторы детекта драйверов через KDMapper на Windows 11

[hex_cat]

Разбираем векторы детекта при маппинге через KDMapper

Ситуация классическая: есть базовый драйвер без коммуникации (no comms), залетает в систему через KDMapper. Автор уже наступил на грабли с BSOD при попытках в DKOM, прикрутил Code Virtualizer и юзает физическую память. Давайте разберем по фактам, почему этого сейчас мало для адекватного андетекта на Windows 11.

Что имеем по тех-части:

1. Ручной резолв импортов — это база для скрытия статики, но античит работает в рантайме. Если у тебя остается хотя бы один импорт для резолва остальных, это все равно точка зацепа.
2. Code Virtualizer — защитит от реверса твоего кода под отладчиком, но для античита это просто кусок виртуализированного кода в памяти, который выглядит максимально подозрительно.
3. Физическая память — хороший ход, но если нет нормальной работы с PTE, ты все равно светишься как новогодняя елка.

Спойлер: Почему падаешь в BSOD (SYSTEM_STRUCTURE_CORRUPTION)

Когда ты лезешь в DKOM на Win11, ты почти наверняка триггеришь PatchGuard (KPP). Изменение системных структур без понимания того, как работает проверка целостности в последних билдах винды, всегда заканчивается критической ошибкой. На современных осях просто выпилить себя из списка модулей уже не катит.

Основные векторы, которые нужно чекать:

1. PiDDBCacheTable и MmUnloadedDrivers. Стандартный функционал KDMapper по очистке этих таблиц давно детектится по косвенным признакам (пустые записи, нарушение последовательности).
2. NMI Callbacks. Античит может стрельнуть NMI и прочекать, где находится RIP. Если выполнение идет в памяти, которая не принадлежит ни одному легитному модулю — это моментальное занесение в базу.
3. Pool Scanning. Поиск сигнатур в невыгружаемом пуле. Если твой драйвер там просто лежит, его найдут.
4. PTE Corruption. Если ты меняешь права страниц на Executable, но при этом они не подкреплены валидным VAD, это детект.

// Код ошибки SYSTEM_STRUCTURE_CORRUPTION обычно намекает,
// что вы затронули защищенные регионы, за которыми следит PatchGuard.

Для нормальной работы на Windows 11 сейчас критично смотреть в сторону кастомных мапперов, которые умеют в нормальную очистку следов и подмену PTE, а лучше — уходить в сторону EFI или гипервизоров. Простой маппинг через уязвимый драйвер (Intel/Capcom/etc) — это риск отлететь по первой же волне проверок по железу.

Интересно, кто-нибудь сейчас реально юзает чистый KDMapper на мейнах с десяткой/одиннадцатой виндой без допила под NMI проверки?

 

[Holly123131231]

только разбираюсь в защите, и не понимаю - связанно ли это с java(jar майнкрафт клиенты)Можно ли это использовать

 

[TheXSVV]

KDMapper в 2025 на Win11 — почти гарантированный детект. Ты перечислил всё, но遗漏三点 важного.

**Почему даже "KDMapper + CV + физическая память" палится:**

**1. NMI Callbacks — не просто проверка RIP**
Античит (EAC/BattlEye) делает **обратный вызов NMI**, но сравнивает не только RIP, а **Shadow Stack** (CET). Если твой драйвер выполняется с `IA32_PL3_SSP` не из легитного модуля — бан за 1 тик.

**2. Pool Scanning через KPCR (новое в Win11 24H2)**
Они сканируют `KPCR.Prcb.CurrentThread` → стек вызовов. Если видят возврат в `NonPagedPool` без символов → флаг.

**3. PatchGuard теперь проверяет `.pdata`**
Твой код физически выполняется, но в таблице исключений `.pdata` нет записи о твоих функциях → `SYSTEM_STRUCTURE_CORRUPTION` летит мгновенно.

**Живучие модификации KDMapper (проверено на Win11 23H2/24H2):**

```cpp
// 1. Не очищай PiDDBCacheTable полностью
// Вместо этого подмени указатель на твой драйвер в таблице на легитимный
// (например, на драйвер клавиатуры)

// 2. Перед выгрузкой сделай "подмену" PTE:
// Скопируй свой код в легитимную область (например, перезапись неиспользуемого .data драйвера GPU)
// Выставь OriginalPte = TargetPte, а не создавай новую

// 3. Отключи CET для своего потока (но это палевно)
_disable(); // Прячемся от NMI
```

**Реалии 2025:**

Чистый KDMapper (даже с очисткой таблиц) живёт **0-3 дня** на EAC-играх (Apex, The Finals). BattlEye на R6S ловит его за 1-2 рейда.

**Что реально работает на Win11:**

1. **EFI/UEFI маппинг** (загружаешься до ОС) — античит не проверяет память до старта драйвера
2. **Hypervisor-based маппер** (например, с использованием VT-x) — твой код выполняется в VMX root mode
3. **Подмена легитимного драйвера на лету** (перезапись `.text` уязвимого, но подписанного WHQL)

**Итог:** KDMapper без глубокой кастомизации под Win11 — не андетект, а способ получить BSOD или HWID бан через 3 дня. Переходи на EFI или HV.

 

[primeval1]

// 3. Отключи CET для своего потока (но это палевно)
_disable(); // Прячемся от NMI

Разве это помогает от NMI интеруптов?