Yazar, dört yıl önceki Tower of Fantasy hesabını silmek için oyunu yüklemek zorunda kalmasıyla bu araştırmaya başladı. 100 GB'ı aşkın oyunun uzun süren kurulumu sırasında, başlatıcı dizininde GameDriverX64.sys adlı bir anti-cheat sürücüsü fark etti. Kernel sürücüleri, sistemde en yüksek ayrıcalıklarla çalıştığı için, kötü yazıldıklarında saldırganlar tarafından kötüye kullanılabilirler. Yazar, sürücüyü IDA ile incelediğinde, beklediği gibi sanallaştırılmış veya karmaşık kod yerine, şaşırtıcı derecede temiz ve okunabilir fonksiyonlarla karşılaştı. Önceki sürümün yoğun bir şekilde VMProtect ile korunduğunu bilen yazar, bu durum karşısında meraklandı.
Kernel anti-cheat'lerin "casus yazılım" olduğu yönündeki yaygın endişelerin aksine, yazar asıl riskin güvenlik açıkları olduğunu vurguluyor. Kullanıcı modu istemcileri zaten tarayıcı çerezlerini çalabilirken, kernel anti-cheat'ler en yüksek ayrıcalık seviyesinde çalışan kritik güvenlik kodlarıdır. Kötü yazıldıklarında, tüm sistemi tehlikeye atabilecek bir saldırı yüzeyi oluştururlar. Sürücünün neden şifrelenmediği sorusunun cevabı ise HVCI (Hypervisor-Protected Code Integrity) özelliğinde yatıyor. Windows 11'de varsayılan olarak etkin olan HVCI, W^X (Write XOR Execute) kısıtlamasını uygulayarak kod sayfalarının hem yazılabilir hem de yürütülebilir olmasını engeller. VMProtect'in bazı özellikleri bu kısıtlamayı ihlal ettiği için, sürücünün HVCI etkin sistemlerde bütünlük denetimlerinden geçmesini engelliyordu.
Geliştiricilerin VMProtect'i HVCI ile uyumlu hale getirebilecekleri yöntemler olmasına rağmen, bu önlemlerin alınmadığı belirtiliyor. Yazar, şifreleme olmasa bile, sürücünün IOCTL'lerinin hala aynı işlevi gördüğünü ve kimlik doğrulamasının neredeyse hiç olmadığını, dolayısıyla temel güvenlik açıklarının devam ettiğini belirtiyor. Şifrelemenin sadece tersine mühendisliği zorlaştırdığını, imkansız kılmadığını ekliyor. Bu durum, oyun anti-cheat sistemlerinin güvenlik mimarisi ve geliştirme pratikleri hakkında önemli soruları gündeme getiriyor.
Tower of Fantasy'nin anti-cheat sürücüsündeki zayıf güvenlik uygulamaları, en yüksek ayrıcalıklarla çalışan kernel bileşenlerinin potansiyel sistem güvenliği risklerini gözler önüne seriyor.