Исходник [Дамп] Call of Duty: Black Ops 7 — Ricochet Anti-Cheat (randgrid.sys)

[hex_cat]

Достали свежие дампы Ricochet для тех, кто плотно сидит на реверсе новой колды.

В центре внимания — randgrid.sys. Это основное ядро античита Call of Duty, которое работает на уровне системы. Дамп сделан специально для глубокого анализа логики работы Rico, чтобы вы могли понимать, как именно он триггерится на софт и какие методы детекта сейчас в приоритете у разработчиков.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пожалуйста, авторизуйтесь для просмотра ссылки.

Что удалось выяснить при осмотре:

1. Античит окончательно пересел на иглу Secure Boot. Без него запуск игры становится лотереей или вообще блочится, что сильно ограничивает возможности для некоторых типов манипуляций в обход TPM.
2. Сам по себе драйвер randgrid довольно «ленивый». Судя по анализу, основная часть защитной логики и эвристики все еще крутится в юзермоде самого процесса игры.
3. Драйвер в основном занят блокировкой древних методов RPM/WPM и пресечением тривиальных инжектов. Серьезную угрозу он представляет только для тех, кто использует паблик-методы многолетней давности.

Спойлер: Заметки по анализу

Файлы достаточно компактные, так что IDA переваривает их без боли. Если нет желания тратить часы на ручной разбор векторов — скармливайте псевдокод в нейронки с широким окном контекста. Модели неплохо справляются с идентификацией структур и поиском зацепок по хукам.

Для архива и вдумчивого кодинга вещь полезная. Код защиты в CoD — это всегда гора мусора, но именно в ней можно найти лазейку под внешний оверлей или работу с памятью под радаром.

Интересно, кто-то уже чекал, появились ли новые проверки на обработку хендлов в последних патчах?