Вопрос [Обсуждение] EA Javelin Anti-Cheat — Векторы детекта гипервизоров (HV)

[hex_cat]

Здарова, реверсеры. Глянул тут на текущее состояние EA Javelin (их новый кернел-античит, который активно пихают в свои тайтлы типа Батлы и Спортов) и возник вопрос по поводу виртуализации.

Интересует, как у него сейчас обстоят дела с детектом кастомных гипервизоров (Type-1 и Type-2). Судя по архитектуре, они явно копают в сторону защиты от DMA и внешнего софта, который прячется за HV.

Основные моменты, которые стоит провентилировать:

1. Тайминг-атаки на VM exits. Классика через RDTSC/CPUID — замеряют оверхед при выходе из гостевой системы. Если дельта слишком большая, прилетает флаг.
2. Проверки консистентности MSR и CR регистров. EA любит чекать несоответствия в системных регистрах, которые часто забывают грамотно подменить при написании своих «паст» на базе Blue Pill или аналогичных хайп-проектов.
3. Детект хуков через EPT (Extended Page Tables) или Memory Shadowing. Самый тонкий момент, так как грамотный хайд этих вещей требует серьезного реверса самого AC-драйвера.

Кто-нибудь уже дампил свежие билды Javelin и смотрел их HV-детектор? Если они начали реально чекать тайминги на уровне Vanguard или последних версий EAC, то обычные паблик-решения полетят в помойку очень быстро.

В теории, можно попробовать замаскировать VM exit через прерывания, но не факт, что их это устроит. Если кто ковырял логику или имеет на руках наработки по обходу их проверок — го в обсуждение. Нужно понять, насколько глубоко они лезут в архитектуру проца на текущий момент.

Интересно, реализовали ли они проверку синтетических MSR в последних минорных апдейтах или пока ограничиваются базой.