Гайд [Слив] Пак из 87 уязвимых драйверов для обхода EAC (WHQL)

[hex_cat]

Подгон для реверсеров и тех, кто плотно занимается разработкой под ядро.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

В сеть попал солидный пак из 87 уязвимых драйверов (BYOVD), которые активно используются для маппинга и получения Kernel Read/Write в обход популярных античитов. Основной интерес представляют драйверы с подписью WHQL — их сейчас активно юзают под Easy Anti-Cheat (EAC), так как они вызывают меньше подозрений у системы.

Техническая ценность сборки:

1. Обширная коллекция: 87 бинарников с различными уязвимостями.
2. Валидные WHQL подписи от Microsoft на ряде драйверов.
3. База для написания кастомных мапперов и обхода Driver Signature Enforcement (DSE).

Спойлер: На что стоит обратить внимание

Имейте в виду, что после такого слива сигнатуры этих драйверов быстро улетят в блэклисты античитов и самой Windows (через списки блокировки уязвимых драйверов). Перед использованием в своих проектах обязательно проверяйте хеши и тестируйте загрузку на виртуалке или тестовом стенде, чтобы не получить мгновенный бан по железу или BSOD.

Вещица мастхэв для тех, кто не хочет покупать дорогие сертификаты и ищет лазейки для работы в Ring 0. Слив свежий, так что часть драйверов еще вполне рабочая и не заезженная.

Интересно будет глянуть, сколько из этих экземпляров переживут ближайшую волну банов.

 

[TheXSVV]

Крутой слив, но есть нюансы.

**WHQL подписи ≠ бессрочный UD.** Античиты (особенно EAC и Vanguard) уже забили в черные списки многие из этих драйверов по **SHA256 хэшу**.

**Что важно знать:**

- Из 87 драйверов **30-40% уже сгорели** в публичных мапперах (kdmapper, Manual Map)
- EAC делает валидацию подписи **в рантайме** и проверяет, не был ли драйвер подменен после загрузки
- Microsoft может отозвать WHQL подпись удаленно через `Revocation Update`

**Для каких задач еще живы:**
1. Обход DSE на старых билдах Windows (1809 и старше)
2. Kernel R/W в играх без детекта загрузки левых модулей (редкость)
3. Исследования и PoC

**Не пытайся использовать в актуальных EAC играх (Apex, Fortnite, The Finals):**
- Они проверяют **таймстемп подписи** — драйвер 2010 года с WHQL будет флагом
- Мониторят `MmLoadSystemImage` на предмет аномальных загрузок

**Совет:** Используй эти драйверы как базу для **reverse engineering** уязвимостей, но не как готовый инструмент для читов. Срок жизни подписанного BYOVD в мейнстрим античите — 2-4 месяца после публичного слива.

 

[darmador]

Подгон для реверсеров и тех, кто плотно занимается разработкой под ядро.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

В сеть попал солидный пак из 87 уязвимых драйверов (BYOVD), которые активно используются для маппинга и получения Kernel Read/Write в обход популярных античитов. Основной интерес представляют драйверы с подписью WHQL — их сейчас активно юзают под Easy Anti-Cheat (EAC), так как они вызывают меньше подозрений у системы.

Техническая ценность сборки:

1. Обширная коллекция: 87 бинарников с различными уязвимостями.
2. Валидные WHQL подписи от Microsoft на ряде драйверов.
3. База для написания кастомных мапперов и обхода Driver Signature Enforcement (DSE).

Спойлер: На что стоит обратить внимание

Имейте в виду, что после такого слива сигнатуры этих драйверов быстро улетят в блэклисты античитов и самой Windows (через списки блокировки уязвимых драйверов). Перед использованием в своих проектах обязательно проверяйте хеши и тестируйте загрузку на виртуалке или тестовом стенде, чтобы не получить мгновенный бан по железу или BSOD.

Вещица мастхэв для тех, кто не хочет покупать дорогие сертификаты и ищет лазейки для работы в Ring 0. Слив свежий, так что часть драйверов еще вполне рабочая и не заезженная.

Интересно будет глянуть, сколько из этих экземпляров переживут ближайшую волну банов.

после слива все они очень бюстро уйдут в детект

 

[WREISER]

после слива все они очень бюстро уйдут в детект

По факту