返回博客列表

游戏加速器安全控制套件:审查、封锁、一键启停

技术审查发现某游戏加速器拥有内核驱动、全网卡绑定、自签名CA证书、22个广告SDK。开发启停控制工具,不用时三层封锁其系统能力。

#Windows#Security#Privacy#Reverse Engineering

背景

换机后需要使用某游戏加速器,该软件在旧电脑上已有安装痕迹。对旧电脑进行技术审查后,发现多项安全风险。

经评估,虚拟机隔离方案不够便利,因此开发了一套控制工具:不用时完全封锁其系统能力,使用时一键启用。

GitHub: https://github.com/EnjouZeratul/ak-safety-toolkit(opens in a new tab)

技术审查发现

内核驱动

两个内核驱动以 SYSTEM 权限运行:

驱动路径特点
akdriversys.sysC:\WINDOWS\非标准位置
Hgate.sysC:\WINDOWS\system32\DRIVERS\标准位置

内核驱动拥有最高权限,可访问所有系统资源。开机自启意味着用户无感知地暴露系统。

全网卡绑定

Hgate.sys 注册为 NDIS 轻量级过滤器(LWF),ComponentID 为 ms_hgate,绑定所有网络适配器。

验证命令:

Get-NetAdapterBinding -ComponentID ms_hgate

自签名CA证书

路径:C:\ProgramData\AKPlatform\ca.crt,Subject 字段:CN=ChangeMe

虽然未安装到系统信任区,但文件存在即能力存在——软件运行时可随时将证书注入系统,具备 HTTPS 中间人攻击能力。

其他发现

项目说明
未签名 DLLhv.dll 无数字签名
加密配置无法审计数据收集行为
硬件指纹配置中存在 MachineCode 字段

隐私政策分析

公司信息

  • 代码签名公司:四川光轮科技有限公司
  • 隐私政策公司:四川征云网络科技有限公司

代码签名公司与隐私政策公司不同,责任主体模糊。

隐私政策承认的行为

  1. 监控流量:声明"无日志",但例外条款允许"实时分析数据包括网站IP、原始地址等"
  2. 收集已安装应用列表及进程信息
  3. 集成 22 个第三方广告 SDK(穿山甲、广点通、快手等)
  4. 自启动能力
  5. 推送促销信息

广告SDK信息收集范围

22 个 SDK 覆盖:设备识别(IMEI/AndroidID/MAC)、位置追踪、应用列表、行为分析、广告推送、传感器数据等。

控制方案设计

设计思路

既然无法避免使用,目标是:

  • 使用时:软件正常工作
  • 不使用时:完全封锁其系统能力

三层封锁原理

第1层:内核驱动 → 以 SYSTEM 权限运行,开机自启
第2层:网卡绑定 → 挂载到每个网络适配器,拦截流量
第3层:CA证书 → HTTPS 解密能力

三层封锁操作

封锁第1层:
  reg add HKLM\SYSTEM\CurrentControlSet\Services\akdriversys /v Start /d 4
  reg add HKLM\SYSTEM\CurrentControlSet\Services\Hgate /v Start /d 4
  → 驱动启动类型改为 Disabled

封锁第2层:
  Get-NetAdapterBinding -ComponentID ms_hgate | Disable-NetAdapterBinding
  → 从所有网卡解绑

封锁第3层:
  ren C:\ProgramData\AKPlatform\ca.crt ca.crt.bak
  → 重命名证书文件,阻断 MITM 能力

即使软件被某种方式唤醒,三层封锁也阻止其接触任何数据。

套件功能

主脚本 AK.bat

启用流程

  1. 驱动启动类型改为 Demand
  2. 启动驱动服务
  3. 绑定所有网卡
  4. 恢复证书文件
  5. 启动软件

禁用流程

  1. 强制关闭相关进程(9个)
  2. 停止驱动服务
  3. 驱动启动类型改为 Disabled
  4. 解绑所有网卡
  5. 重命名证书文件
  6. 清理广告缓存和日志(~250MB)
  7. 重置代理和 DNS

状态检测

通过注册表判断当前状态:

reg query HKLM\SYSTEM\CurrentControlSet\Services\Hgate /v Start | find "0x4"
  • Start=4 (Disabled) → 执行启用流程
  • Start≠4 → 执行禁用流程

清理内容

目录大小内容
cache\bannerpic\32 MB广告横幅图片
mbcef73\cef_cache\215 MBChromium 广告浏览器缓存
log\*.log~130 KB用户日志(含 IP、账号、游戏历史)
temp\6 MB临时文件

辅助脚本

脚本功能
pre-install-check.bat安装前系统检查
watch-install.bat安装过程监控,记录变更
post-install-verify.bat安装后验证
check-status.bat当前状态检查
cleanup.bat单独清理广告缓存

验证效果

禁用后运行 check-status.bat 确认:

[Driver Startup Type]
Start: 0x4 (Disabled)

[Network Adapter Binding Status]
(空,表示已解绑)

[CA Certificate Status]
NOT FOUND(表示已重命名)

[AK Process Status]
NOT RUNNING

安全程度分析

当前状态:驱动不加载、网卡解绑、证书重命名、缓存和日志清除。

理论残留:驱动文件仍在磁盘、注册表服务项仍存在、程序目录仍在。

实际角度,当前状态足够安全。即使软件被唤醒,三层封锁也阻止其接触数据。

使用建议

  • 加速期间不进行敏感操作(网银、登录、私人通信)
  • 用完立即运行禁用脚本
  • 定期检查状态

替代方案

  • 自建加速节点(WireGuard)
  • 使用商业加速器但审查其安全风险
  • 接受游戏延迟,不使用加速器

⚠️ 声明:本文仅供技术学习和个人设备维护参考。请在合法合规的前提下操作。

相关链接

最后更新: 2026-05-25