web-dev-qa-db-ja.com

ゲーム改造のセキュリティリスク

私は次の post を読み、質問はSkyRimに固有のものでしたが、より一般的な答えは、ゲームに依存するというものでした。ここで、セキュリティ担当者に、より一般的な質問をしたいと思いました。

主な関心事は、ファイル拡張子のタイプとmodに使用されていた言語であるように思われました。どのコードでも好きなように何でもできるという印象を受けたので、言語がどのように重要になるのかわかりません。また、実行ファイルはおそらく単純なテキストベースの構成ファイルよりも危険であることを理解しています。

  1. ゲームMODはどれほど危険ですか?
  2. また、悪意/悪用可能性は、ダウンロードしているmodファイル、またはmodファイルが変更しているファイルのタイプに依存しますか?
  3. 署名/ヒューリスティックを備えたまともなAVは悪意のあるペイロードを拾いますか?
  4. Modはデバッガー(OllyDBG)または他のツール(どのタイプ)で検査できますか?

要約すると、どうすれば安全にmodできますか?

malwareantivirusantimalwareconfigurationgaming
2
user58446

Modは確かに感染ベクターとして使用できます。その多くは信頼の問題に帰着します。何万ものダウンロードがあり、問題が発生したことを誰も示唆していないmodは、大丈夫です(それでも保証はありません!)。

理想的な世界では:

  • 可能な限り、インストーラーを備えたmodは避けてください。これを実行できない状況もありますが、インストーラーを使用したmodがおそらく最大の脅威です。多くのユーザーは、インストーラからの管理者権限のリクエストを喜んでクリックしていきます。
  • 信頼できるソースからmodをダウンロードします。作成者がリリースしたときは常にmodをダウンロードしていることを確認してください。他の誰かがmodを再パックしないでください。
  • Modのコメントセクションを確認し、「ウイルス」などのキーワードを使用して簡単にgoogle検索を行います。
  • この回答の最初のセクションにあるように、ダウンロードがほとんどないものよりも人気のあるmodを優先してください。

非常に多くの異なるタイプのmodがあり、それらの間には大きな違いがあるため、質問のセクションでは実際の有用な情報で答えることはできません。ただし、一般化:

ゲームMODはどれほど危険ですか?

文字列の長さはどれくらいですか? Modは非常に危険な場合とまったく危険でない場合があります。ファイルの種類は確かに重要です。テクスチャを置き換える、または新しいモデルを追加するだけのModが問題を引き起こすことはほとんどありません。 .exeインストーラーを使用するModには注意が必要です。

悪意/悪用可能性は、ダウンロードしているmodファイル、またはmodファイルが変更しているファイルの種類に依存しますか?

両方とも。ダウンロードするmodが.exeの場合、.zipまたは.rar(通常)の場合よりもリスクが大きくなります。 modファイルがいくつかのテクスチャまたは設定ファイルを置き換えるだけの場合、ゲームの実行可能ファイルを置き換える場合よりもリスクははるかに小さくなります...

署名/ヒューリスティックを備えたまともなAVは悪意のあるペイロードを拾いますか?

うまくいけば、それに依存しないでください。

Modはデバッガー(OllyDBG)または他のツール(どのタイプ)で検査できますか?

繰り返しますが、これはmodが何で、何をするかによって異なります。デバッガーで.exeファイルを確認することはできますが、率直に言って、まったく実行しません。または、デバッガでチェックするために本当に実行する必要がある場合は、VMでサンドボックス化して実行します。

6
AlexH

Modにはさまざまな種類があります。

  • 画像、モデル、マップなどのゲームコンテンツファイルを追加または置換するMod。これらは、これらのアセットを処理するゲームエンジンのバグを悪用しない限り、通常は無害でなければなりません。
  • スクリプトの形でゲームロジックを追加するMod。多くのゲームには、Modが限られたプログラムされたロジックを実行できるようにするスクリプトエンジンがあります。これらのスクリプトエンジンは非常に強力で適切にサンドボックス化されていない場合があります。そのため、たとえば、ゲームの一部ではないファイルにアクセスしたり、ネットワーク接続を開いたりするなど、ModがModが実行してはならないことを実行できます。
  • ゲームの実行可能ファイルにパッチを当てたり、置き換えたりするMod。これらは、必要なときにゲームの実行可能ファイルをマルウェアに変える可能性があるため、常に危険です。 .DLLに付属しているmodにも注意してください。これらには、ゲームの実行可能ファイルのコンテキストで実行されるバイナリコードも含まれています。
  • 実行可能コンポーネント自体を持っているMod。これは、1回実行されるインストーラー、またはゲームの実行中に実行されるコンパニオンプログラムです。言うまでもありませんが、これらは彼らがやりたいことを何でもする特権を持っています。
1
Philipp

私はここにパラノイアを投げ込みます(単にコンソールハードウェアで最近行ったことが原因で)、直接実行可能なコンテンツは攻撃者にとって間違いなく非常に簡単になりますが、唯一のベクトルではありません。ゲームデータファイル内の1つの誤ってチェックされたバッファと、突然スタック全体を破壊する可能性があります。すでに十分なディスクとネットワーク機能を備えた実行可能ファイルでは、平均的なジョーの能力を超えて、「マップ」または「モデル」を取得して、ディスク上のファイルを読み書きしたり、ソケットを開いたりすることがかなり可能です。 Windowsレジストリへの書き込みは、キーロガーをインストールしたり、だれが何を知っているかを確認したりします。

上記のゲームで関数呼び出しを壊すのではなく、独自のコードを実行するのはほんの少しのステップです。そして、あなたは与えられたシステムの完全なユーザー土地所有権を持っています

1
Damian Nikodem