Livelife 게이가 어그로를 끄는 이유에 대해서 알아보자


주의)
장문 글을 처음 써봄, 가독성이 떨어질 수 있음
콤퓨타 관련 전공한게 아니라 잘못된 정보 및 뇌피셜이 난무함

23년 3월쯤인가 리패커 사태 당시 변조된 위젯을 판매했던 HeMAN이라는 인물이 자신의 비공개 디스코드 채널을 통해 새로운 핵을 판매하겠다는 공지를 올림
(사실은 HeMAN이 올린 건지는 잘 모르겠음, 근데 아마 나한테 사진을 제공해 준 사람이랑 이야기 해봤을 때 이야기 문맥상 HeMAN이라는 인물이 올린 건 확실해 보임)


일단 사진 내용을 대충만 봐도 리패커랑은 상당한 괴리감이 느껴지지 않아?
아마 괴리감이 느껴지는 이유는 원기 게이가 말했던 메모리에 직접 엑세스하여 메모리 조작을 통한
진짜 "핵"이기 때문일 꺼임

여기서 주의 깊게 봐야 하는 건 "INTEL CPU 전용, 우회 엔진 전용, Table 스캔식"이라는 문구임

1. INTEL CPU 전용?
이게 무슨 뜻일까? 어째서 핵을 사용하기 위해선 INTEL CPU 이여야 할까 혹시 엔진이랑 연관이 있을까?
싶어서 검색을 통해 알아본 결과 엔진이라는건 일단 CheatEngine 이라는 프로그램을 말하는거 같다.

그럼 엔진과 INTEL 그리고 AMD는 무슨 관계가 있을까 알아보니

어떤 블로그에서 설명하길
"Intel VT-x가 활성화된 PC라면 Your system supports DBVM 문구가 보일 것입니다. AMD CPU의 SVM을 활성화해도 DBVM을 사용할 수 있지만 AMD에 한하여 일부 기능제한이 있습니다."
라고 한다.

그리고 이건 농담인지 아닌지는 잘 모르겠지만 치트 엔진의 제작자인 다크바이트 본인이 직접
If you have a AMD and want a version for those systems, then please donate $2000 to dark_byte@hotmail.com with paypal
라고 언급했다.

즉, 치트 엔진의 커널 드라이버 올리고 DBVM을 활성화함으로써 VMCALL을 통해 DBVM에 기술을 사용자는 사용할 수 있다.

그럼 도대체 어떤 기술을 사용하길래 r0 레벨까지 올라가서 메모리를 변조하는 걸까?

듣기로는 Cloak이라는 기술을 사용한다고 한다.
(링크 첨부 불가, 치트 엔진 위키 dbvm_cloak_activate 검색 바람)

이게 도대체 무슨 말일까
(링크 첨부 불가, 치트 엔진 깃헙 vmcall.txt 참고 바람)
해당 텍스트를 읽어보면 21번째 줄에, Cloak에 대한 설명이 조금 나와있다. (중요 : "slow, but safe")

아니 그래서 Cloak이 뭔데 병신 새끼야
그러게? 여기서 말하는 클로킹이 대체 뭘까?

일단 A라는 코드가 있고 그 코드는 플레이어가 몬스터에게 피격받았는지 확인하는 코드라고 가정해보자.
A라는 코드를 메모리 변조를 통해 플레이어가 무적이 될 수 있는데, NGS의 CRC를 통해 A코드가 보호받고 있다고 치면 보통의 경우에는 CRC를 무력화하지 않는 이상 A코드는 조작이 불가능하다.

근데 치트 엔진에 Cloak을 사용하면 CRC를 통해 보호받고 있는 코드라고 하더라도 탐지되지 않고 변조가 가능하다.
근데 Cloak 이놈이 조금 흥미로운 게, CRC를 직접 무력화하는 게 아니다.

즉, CRC는 건들지 않고 내가 원하는 메모리 공간을 CRC에 탐지되지 않고 변조가 가능하다는 거다.

게이들은 아마 여기서 의문을 품겠지
"엥? 분명 원기햄은 CRC를 통해 메모리를 검사하고 있다고 했는데 도대체 어떻게 CRC를 무력화하지도 않고 탐지를 피할 수 있는 거지?"

다크바이트가 설명한 원리는 생각보다 간단하다.(최대한 내가 이해한 내용으로 설명하겠음)
1. 새로운 공간(다크바이트는 이걸 섀도우 페이지 라고 칭함)을 만들고 A코드를 새로운 페이지에 복사한다.
2. 원래 코드인 A에 모든 페이지 권한을 제거한다.
3. 원래 코드인 A에 R/W 행위가 발생 할 경우 섀도우 페이지로 이동하게 한다.

이렇게 되면, CRC가 A코드의 무결성 검사를 위해 메모리를 읽게 될 경우 섀도우 페이지로 이동하게 된다.
그리고 실제 사용자는 원래 코드를 변조함으로써 실제 작동하는 코드는 변조된 코드지만 CRC는 원래 코드가 복사된 섀도우 페이지를 읽게 된다.

그리고 섀도우 페이지는 A코드의 원본을 그대로 복사해 둔 것이기 때문에 당연히 변조되지 않는 것으로 판단한다.

2. 우회 엔진?
아마 바닐라(?) 일반(?) 순정(?) 치트 엔진은 아마 자사의 보안 솔루션인 NGS를 통해 탐지될 가능성이 높다.

일단 위에 설명했듯 Cloak을 쓰기 위해선 dbk 드라이버도 로드해야 하고 DBVM도 활성화해야 한다.
하지만 NGS가 병신도 아니고 니들이 대놓고 핵쓰겠다는데 그 꼴을 그대로 보고만 있지 않겠지
(사실 조금 더 정확하게 말하자면, 언제부터인지는 모르겠으나 최신 버전의 치트 엔진의 드라이버는 서명까지 되어있는 데다가 드라이버 자체만으론 탐지되지 않는다고 하는 거 같다.)

아무튼 일단 원활한 사용을 하기 위해선 당연히 NGS에 탐지되지 않는 엔진이 필요하기 때문에 따로 판매하는 거 같다.

3. Table 스캔?
이게 무슨 말인지 몰라서 알아내는데 한참 걸렸는데 알 필요 없다.

정리)
1. 이번엔 리패커가 아닌 메모리 변조를 통한 진짜 핵 이슈가 있을 거라고 예상된다.
2. NGS의 CRC는 치트 엔진의 Cloak을 통해 매우 손 쉽게 우회 할 수 있다.
3. Livelife 그만 어그로 쳐 끌어라
4. 어그로 끌꺼면 영상이라도 가져와서 끌어라

마치며)
이건 리패커 처럼 파일 변조가 아니라 진짜 원기 게이가 말했던 메모리 변조를 통한 핵이니깐 알아서 처리하겠지.