Без вины виноватые. Почему игрокам на Linux придется платить за грехи Windows-пиратов

Linux-гейминг впервые за долгие годы выглядит почти зрелым рынком. Proton, Steam Deck и постоянные доработки Valve довели ситуацию до точки, в которой огромная часть Windows-игр запускается на Linux без сложных ручных настроек. Но рядом с таким прогрессом выросла новая угроза, и связана угроза не с драйверами и не с совместимостью как таковой.

Проблема пришла со стороны новой волны обходов Denuvo. Пираты начали использовать гипервизоры, чтобы ломать защиту в первые часы после релиза. Для издателей такой сценарий особенно болезненный, потому что Denuvo годами продавали как барьер, который хотя бы на старте удерживает игру от массового пиратства. Если раньше взломщикам приходилось неделями или месяцами распутывать защиту вручную, то теперь часть проверок удается обойти куда быстрее.

Denuvo Anti-Tamper уже много лет остается главным антивзломным слоем в крупных PC-релизах. Речь идет не о самостоятельной DRM-системе, а о защитной оболочке поверх лицензирования, чаще всего поверх Steam. Denuvo запутывает код, проверяет целостность файлов и мешает отладке, поэтому традиционный взлом нередко растягивался на месяцы, а некоторые игры оставались без рабочего обхода больше года.

Новый подход ломает привычную схему. Вместо долгого реверса злоумышленники ставят собственный гипервизор и фактически помещают уже запущенную Windows в контролируемую среду. На уровне Ring -1 такой слой может перехватывать команды и события, на которых держатся проверки Denuvo, а затем подсовывать защите удобные ответы. Проверка на наличие гипервизора получает ложный отрицательный результат, замеры времени перестают показывать отладку, а запросы к структурам ядра тоже возвращают подмененные данные.

Схема выглядит изобретательно, но цена у такой изобретательности слишком высокая. В разборе техники для Resident Evil: Requiem описана атака, которая может затрагивать сразу несколько уровней привилегий процессора. В наиболее жестком варианте на уровне прошивки отключаются PatchGuard, проверка подписи драйверов и VBS еще до загрузки Windows. Затем модифицированный гипервизор перехватывает проверки Denuvo, а на пользовательском уровне эмулятор Steam подменяет проверку владения игрой.

Итог для защиты выглядит разрушительно. Проверки Denuvo проходят успешно, хотя настоящая лицензия отсутствует. По такой схеме уже обходили Resident Evil: Requiem, Crimson Desert, Life is Strange: Reunion и Assassin's Creed: Shadows. Пиратство первого дня, которое индустрия считала почти побежденным, снова вернулось.

Проблема не сводится к самому факту взлома. Намного важнее, чем приходится жертвовать пользователю ради запуска такой копии. Для работы обхода нужно отключить или ослабить почти весь набор защит Windows на уровне ядра. Ранние версии требовали отключать Secure Boot или использовать EfiGuard, более свежие варианты упростили процесс, но все равно сводят систему к состоянию, в котором защита драйверов, контроль целостности и аппаратные механизмы безопасности перестают работать как задумано.

Во время такой игровой сессии компьютер остается практически без нижнего слоя защиты Windows. Даже на пиратских форумах пользователей предупреждают, что уязвимость в коде гипервизора или связанного драйвера может мгновенно отдать машину под полный контроль чужому коду. Когда даже репак-сцена начинает говорить о рисках в полный голос, повод для тревоги уже более чем серьезный.

Именно поэтому репакер FitGirl помечает подобные сборки яркой меткой HYPERVISOR и прямо предупреждает, что бесплатная игра не стоит необратимого ущерба для ПК. Формально многие компоненты остаются открытыми и пока не были замечены в распространении универсального вредоносного кода, но такой факт почти не успокаивает. Пока системные защиты отключены, любой чужой код получает слишком глубокий доступ и может остаться невидимым для антивируса.

Компания Irdeto, владеющая Denuvo, уже подтвердила, что готовит обновленные версии защиты для игр, затронутых гипервизорными обходами. Представители Irdeto при этом заявляют, что новые меры не потребуют переноса Denuvo на уровень Ring -1 или глубже. Формулировка звучит успокаивающе, но выбор у DRM-поставщика на деле не такой широкий.

Проверки через CPUID и замеры задержек процессора уже умеют подделывать сами обходы. Более частые онлайн-проверки лицензии ударят прежде всего по легальным покупателям и тоже не выглядят непреодолимым препятствием. Более жесткий и логичный путь для индустрии ведет к контролю цепочки загрузки, проверке целостности на уровне ядра и другой глубокой интеграции с Windows. А дальше начинается проблема, которая напрямую касается Linux.

С антипиратскими мерами здесь возникает та же логика, что давно работает в античитах. Vanguard, Javelin, Easy Anti-Cheat и BattlEye в продвинутых режимах используют драйверы уровня ядра. Такой драйвер получает доступ к памяти, процессам и системным событиям, которые недоступны обычному пользовательскому коду. На Windows модель давно отлажена, пусть и вызывает постоянные споры о приватности и лишнем контроле.

Для Linux картина совсем другая. Linux поддерживает подпись модулей ядра, Secure Boot и режимы lockdown, но не предлагает сторонним компаниям единый и жестко контролируемый контур доверия, сопоставимый с Windows. Ядро Linux открыто, меняется от дистрибутива к дистрибутиву и при желании пересобирается самим пользователем. Для свободы платформы такой подход естественный, а для DRM и античитов почти неразрешимый.

Поэтому поставщики античитов давно относятся к Linux настороженно. Easy Anti-Cheat и BattlEye поддерживают работу через Proton в пользовательском режиме, а сама Valve не раз объясняла, что интеграцию BattlEye в Proton разработчики могут включить сравнительно просто. На практике многие студии считают такой режим недостаточно надежным для соревновательных игр и предпочитают не рисковать.

Разработчики Rust, например, прямо говорили, что поддержка Linux превращается в удобный вектор для авторов читов. Такой комментарий от Facepunch до сих пор можно найти на Reddit. Логика у студий простая: если платформа плохо подходит для жесткого контроля на уровне ядра, проще отказаться от поддержки, чем вкладываться в отдельный и менее надежный сценарий.

Та же логика теперь может ударить и по DRM. Когда Windows-игра запускается на Linux через Proton, встроенная защита тоже продолжает работать. Если будущие версии Denuvo начнут сильнее опираться на функции ядра Windows, проверки гипервизора и доверенную цепочку загрузки, Proton столкнется с непредсказуемым поведением или прямыми отказами. В таком случае перестанут запускаться не какие-то будущие релизы, а игры, которые уже сегодня нормально работают на Linux.

Самая неприятная часть всей истории выглядит почти издевательски. Гипервизорный обход целиком завязан на Windows. Сценарий строится вокруг загрузчика Windows, драйверной модели Windows и защитных механизмов Windows. На Linux и SteamOS такая цепочка в описанном виде просто не работает. Получается, что Linux-пользователи не участвуют в новом витке пиратства, но вполне могут заплатить за ответ индустрии сильнее других.

Пока Linux-гейминг остается в лучшей форме за всю историю. Proton растет, драйверы становятся стабильнее, Steam Deck доказал существование реального спроса. Но весь прогресс держится на хрупком условии: Windows-игры должны оставаться достаточно совместимыми с внешним слоем перевода и не требовать слишком глубокой привязки к специфике Windows. Гонка между пиратами и Denuvo подталкивает рынок ровно в обратную сторону. И если издатели решат, что безопасность важнее совместимости, Linux снова рискует получить удар за чужой взлом.