Ooo Vanguard konusu alırım bir dal.
Vanguard, "vgk" ve "vgc" olmak üzere iki modülden oluşuyor.
VGK = Vanguard KERNEL driver.
VGC = Vanguard Client process.
Eki Görüntüle 13399
İnsanların korktuğu şey "vgk" olan kernel sürücüsü. Sonuçta daha Windows başlarken boot sırasında initialize ediliyor ve Windows kapanana kadar sürekli çalışıyor.
Bu kernel sürücüsünün asıl amacı, oyun başladığı zaman oyun işleminin
("VALORANT-Win64-Shipping.exe") RAM üzerinde yerleştirildiği
RAM sayfalarını okuma/yazma işlemine kapatmak (Bunu Windows Kernel'inden yapıyor). Bu sayede oyuna DLL inject edemiyorsunuz, oyun içine handle alamıyorsunuz, herhangi bir şekilde RAM üzerinde tutulan değerleri user mode tarafından değiştiremiyorsunuz.
VGC (Client) işlemi ise user-mode'da çalışan sıradan bir .EXE dosyası. Aynı okuma/yazma kapatma işlemi ve yetkilendirme işlemini VGK Kernel tarafından bu VGC.EXE üzerine uyguluyor. Anti Cheat'in asıl kısmı VGC (Client) modülü üzerinde gerçekleşiyor diyebiliriz.
VGK'nin 2 amacı daha var, sistem başlarken kendisinden daha yetkili olabilecek ve bilinmeyen diğer kernel sürücülerinin yüklenmesinin önüne geçmek. (Bu sayede user-mode'da olan okuma/yazma engelini basit bir Kernel sürücüsü yazıp bypass edemiyorsunuz. Genelde "Secure Boot"un açık olduğunu kontrol etmek yeterli oluyor).
Diğer amacı ise
"Hardware ID"leri almak.
Bu HWID'ler şunlardan oluşuyor:
- Anakart üreticisi ve anakart seri numarası.
- Hard disk / SSD seri numarası.
- TPM 2.0 çipi üzerine üretim sırasında basılmış eK denilen "endorsement key" imzası. (spoof'u mümkün olmayan bir şey. Aşırı kanser).
- (SM)BIOS seri numarası.
- Disk üzerinde kurulu Windows'a ait seri numaraları.
- nic/mac/arp (<- %100 emin değilim, direkt gözlemleyemedim)
- Secure boot konfigurasyonu, DMA Protection konfigurasyonu vb... (sadece bazı anakartlarda var)
Ayrıca VGC'nin de topladığı bazı bilgiler var:
- Oyun sırasında takılı olan Mouse sayısı, Mouse seri numaraları ve ProductID (pid) & VendorID (VID) gibi numaralar.
- Takılı olan klavye bilgisi, vid&pid numaraları ve seri numarası.
- Sistem konfigürasyonu, arkada açık diğer uygulamaların isimleri, başlıkları ("title"), çalışma yolları, imzaları ve Hash'leri. (Bilinen hile programlarını yakalamak için (?))
- USB COM Port'larını incelemek. (Bu biraz sorun olabilir, USB port'larında gelip giden veriyi inceleyebiliyor VGC.)
- Bilgisayara takılı olan her şey. Ethernet kablosundan tut kulaklığa kadar her şey.
- Arkada açık olan ve oyunun ekranını yakalayan ekran kaydedici, OBS, discord gibi programlar.
- Oyunun üzerine "overlay" basan programlar. (pop-out window, discord overlay, nvidia geforce şeyisi).
Bunar sizin mahreminiz ise Vanguard'ı silmekte fayda var.
Ayrıca, Vanguard'da
"manuel inceleme" denilen bir olay var. Yüksek Elo'larda
(Yüce, Immortal+) yediğiniz "hile" raporları, çok çabuk moderatörlere ulaşır. Eğer bunlar (özellikle yüksek elo'larda) belirli bir sayıyı geçerse bir Riot çalışanı, bayağı sizin mouse'ınızı oyun sırasında interrupt sinyali yollayarak "unplug" ediyor.
(Bunu yapmalarındaki asıl amaç, Arduino Aimbot'larını falan yakalamak, çünkü en zor tespit edilen hile genelde Arduino pixelbotları oluyor. Unplug edince bootloader state'ine geçiyor ve boom! Exposed).
Moderatör sizin oyununuzu baştan sona izleyebilir, stat'larınızı ve geçmiş maçlarınızı analiz edebilir (ama genelde bunlara gerek kalmıyor. Vanguard tarafından zaten "flag"lenmiş oluyorsunuz). Chat'i ve Voice Chat'leri dinleyebilir.
Manuel inceleme sırasında Vanguard farklı davranabilir, ve RAM üzerinde string aratmaya kadar gidebilir bu olay. Benim denk geldiğim şey farenin unplug edilmesiydi (Arduino'mu yakaladı
). O yüzden eğer paranoyak birisi iseniz Valorant açıkken arkada gizli işler yapmayın
İyi tarafından bakacak olursak oyun açık değilken "VGC" inaktif durumda oluyor. Kernel Driver'ı da "standby" moduna geçiyor. Bilgisayarda ne yaptığınızı aktif olarak izlemiyor yani. Sadece Valorant açıkken bu olay var. Aksini iddia eden de çıkarıp bunu yapan kod parçasını göstermediği sürece yalancıdır.
Vanguardın teknik kısmı çok derin, kendi başına bir rehberi hak ediyor o yüzden daha fazla detaya girmeyeceğim.
