Denuvo сдохло в канаве
Что это значит для обычных пользователей?
Возникли вопросики. Лучше ли это чем текущая версия отключения Гипервизора?
Перевод коммента от Федерала_Ад_5771
Не буду грузить тебя сложностями: с этим методом поймать буткит сложнее, но в остальном всё то же самое. Разница лишь в том, что вместо отключения вообще всех механизмов, позволяющих неподписанному драйверу эксплуатировать ядро, ты используешь старый известный уязвимый драйвер от MSI Afterburner и при этом всё равно отключаешь встроенную защиту Windows от атак типа BYOVD (Bring Your Own Vulnerable Driver — «принеси свой уязвимый драйвер»).
С точки зрения безопасности поверхность атаки остается практически такой же. Просто это легче настроить, и тебе не нужно использовать буткит вроде EFIGuard.
Я бы всё равно не стал ставить это на основную Windows, где у меня висят все аккаунты. Но если у тебя есть отдельный диск и ты можешь зашифровать основной раздел с помощью BitLocker, то пользоваться этим в целом можно. Даже если ты откроешь дверь для малвари на игровой системе, она не сможет получить доступ к хранилищу браузера и другим данным на твоей основной системе.
Те, кто говорит, что это абсолютно безопасно и ничем не отличается от запуска программы от имени администратора — идиоты. По сути, это выбор между «трахать интернет без презерватива» и «трахать интернет в презервативе с дыркой» (где роль презерватива играют HVCI и список блокировки уязвимых драйверов Windows). Эксплойт, используемый в этом методе, — это ровно то же самое, что использует вредоносное ПО для внедрения в ядро. Отключая HVCI и список блокировки, ты открываешь дверь не только для этой программы, но и для любых других драйверов, делающих то же самое.
Однако это всё же более безопасный путь, если у тебя dual boot (две системы) и основной диск зашифрован. Даже при том, что обе системы используют один и тот же EFI-раздел, злоумышленнику понадобятся очень продвинутые цепочки атак, чтобы обойти защиту загрузки и заразить твою основную установку.
TL;DR: * Безопасно ли это? НЕТ! Это просто автоматизация отключения проверки подписи драйверов через уязвимый драйвер.
- Становится ли от этого безопаснее? Да, если у тебя две системы, основная зашифрована, и ты (желательно) не выходишь в сеть с той системы, где стоят игры, требующие обхода защиты.
Интервью с чат-ботом. Мнение гемини по вопросу
вопрос: With DSE Patcher no need to turn off your security
ответ: Звучит заманчиво, но давай будем честны: это техническое заблуждение. Утверждение «не нужно отключать безопасность» при использовании DSE Patcher — это как сказать, что ты не взламываешь замок, а просто пользуешься отмычкой, которую оставил прошлый вор.
Вот как это работает на самом деле и почему это все равно риск:
1. Конфликт с HVCI (Memory Integrity)
Если у тебя включена «Изоляция ядра» (HVCI), никакой DSE Patcher не сможет просто так «пропатчить» память ядра. Windows использует гипервизор, чтобы сделать код ядра неизменяемым.
- Итог: Чтобы патчер сработал, тебе либо придется выключить HVCI вручную, либо патчер сделает это сам (или использует уязвимость, чтобы обойти это), что уже само по себе — отключение ключевого слоя защиты.
2. Метод BYOVD (Bring Your Own Vulnerable Driver)
Большинство современных DSE патчеров используют «дырявый» официальный драйвер (например, от старых версий Capcom, MSI или Gigabyte).
- Патчер загружает этот легальный, но дефектный драйвер.
- Через его уязвимость он получает доступ к памяти ядра.
- В памяти он меняет флаг g_CiOptions, чтобы Windows временно «ослепла» и разрешила загрузку твоего неподписанного драйвера.
3. Иллюзия безопасности
Да, тебе не нужно заходить в BIOS и отключать Secure Boot или переводить Windows в Test Mode (тестовый режим). Визуально всё выглядит «чисто». Но по факту:
- Дверь открыта: В тот момент, когда DSE пропатчен, любой зловред с правами админа может подсунуть свой драйвер-руткит так же легко, как и ты — свой чит или кастомный драйвер.
- Детекты: Антивирусы и античиты (вроде Vanguard или FaceIt) прекрасно знают эти уязвимые драйверы и забанят тебя или не дадут запустить систему, пока этот драйвер в памяти.
Вердикт: DSE Patcher — это более «элегантный» способ обхода, чем ручное ковыряние в настройках, но он не делает систему безопасной. Ты всё так же используешь эксплойт ядра.
Это не «сохранение безопасности», это просто скрытное её нарушение.
Хочешь, разберем, как проверить, остались ли в твоей системе «хвосты» от таких патчеров, которые могут стриггерить античит?