Подписывайтесь на наш Telegram и не пропускайте важные новости! Перейти
Что нового?

Обсуждаем VALORANT — углубленный анализ античита Vanguard (2026)

Maguars
Модератор раздела "Valorant"
Модератор
Maguars
Модератор
Статус
Оффлайн
Регистрация
10 Дек 2018
Сообщения
506
Реакции
69
Разбираем live-dump Vanguard и часть init-chain после self-decrypt.

Поковырял свежий devirtualized dump vgk.sys и внутри оказалось довольно много интересного.

Что сразу бросается в глаза:

  1. Runtime-resolve API через MmGetSystemRoutineAddress.
    Большая часть интересных kernel exports вообще не светится в обычном import table.
  2. DriverEntry сделан как trampoline.
    Execution уходит через .riot1, EB FF gadgets, VM dispatcher и MBA pads перед real init.
  3. Vanguard активно использует protected process ring, worker threads и callback-инфраструктуру.
Техническая база процесса:

Код:
Expand Collapse Copy 
https://pastebin.com/raw/HY1KUhuK

Из самого интересного пока выглядит связка HAL PMC hook + stack walker + saved-handler table. Очень похоже на SSDT-style dispatch без прямого SSDT patching.

Интересно, кто-нибудь ещё ковырял свежие live dump'ы vgk.sys? Или смотрел их VM/MBA слой глубже?
 
xqzme69 написал(а):
hex_cat взломал модератора раздела "Valorant"
Нажмите для раскрытия...
tupotapokon60hz написал(а):
hex_cat где
Нажмите для раскрытия...
наслаждается своим профилем
1779390850112.png
 
Maguars написал(а):
Разбираем live-dump Vanguard и часть init-chain после self-decrypt.

Поковырял свежий devirtualized dump vgk.sys и внутри оказалось довольно много интересного.

Что сразу бросается в глаза:

  1. Runtime-resolve API через MmGetSystemRoutineAddress.
    Большая часть интересных kernel exports вообще не светится в обычном import table.
  2. DriverEntry сделан как trampoline.
    Execution уходит через .riot1, EB FF gadgets, VM dispatcher и MBA pads перед real init.
  3. Vanguard активно использует protected process ring, worker threads и callback-инфраструктуру.
Техническая база процесса:

Код:
Expand Collapse Copy 
https://pastebin.com/raw/HY1KUhuK

Из самого интересного пока выглядит связка HAL PMC hook + stack walker + saved-handler table. Очень похоже на SSDT-style dispatch без прямого SSDT patching.

Интересно, кто-нибудь ещё ковырял свежие live dump'ы vgk.sys? Или смотрел их VM/MBA слой глубже?
Нажмите для раскрытия...
У меня уже слово "ковырял" ассоциируется с дцп_котом и его щитпостами
 
Немного о главном
Полезные мелочи
О нас

Проект предоставляет различный материал, относящийся к сфере киберспорта, программирования, ПО для игр, а также позволяет его участникам общаться на многие другие темы. Почта для жалоб: admin@yougame.biz

Поделиться страницей
Назад
Сверху Снизу