Riesgos de seguridad de los modos de juego

Las modificaciones pueden usarse como vectores de infección. Mucho de esto se reduce a una cuestión de confianza. Un mod con decenas de miles de descargas y nadie que sugiera que han tenido algún problema es probable que esté bien (¡aunque todavía no hay garantía!).

En un mundo ideal:

• Siempre que sea posible, evite los mods que tienen un instalador. Hay algunas situaciones en las que esto no se puede hacer, pero las modificaciones con instaladores son probablemente la mayor amenaza. Muchos usuarios estarán encantados de hacer clic en una solicitud de privilegios administrativos de un instalador.
• Descargar mods de fuentes confiables. ¡Asegúrate de que siempre estés descargando el mod cuando el creador lo lanzó, y que nadie más lo haya reenvasado!
• Verifique las secciones de comentarios para el mod y realice una búsqueda rápida en Google con palabras clave como "virus".
• Según la primera sección de esta respuesta, favorece los mods populares sobre los que apenas tienen descargas.

Las secciones de su pregunta no son posibles de responder con información realmente útil, ya que hay muchos tipos diferentes de mod disponibles con grandes diferencias entre ellos. Sin embargo, generalizando:

  

¿Qué tan peligrosos son los mods de juego, el lenguaje y el tipo de archivo son importantes, y cómo puedo decidirlos para cada juego individual?

¿Cuánto dura un trozo de cuerda? Los mods pueden ser muy peligrosos o no ser nada peligrosos. El tipo de archivo sin duda importa. Es poco probable que los mods que solo reemplazan texturas, o agreguen nuevos modelos, etc., le causen algún problema. Los mods que usan instaladores .exe son algo a tener en cuenta.

  

¿La malicia / explotabilidad depende del archivo de mod que estoy descargando o del tipo de archivos que modifica el archivo?

Ambos. Si el mod que está descargando es un .exe, es un riesgo mayor que si es un .zip o .rar (generalmente). Si el archivo mod simplemente reemplaza algunas texturas o archivos de configuración, es un riesgo mucho menor que si reemplaza el ejecutable del juego ...

  

¿Un AV decente con firmas / heurísticas recogerá una carga útil maliciosa?

Con suerte, pero no confíes en ello.

  

¿Se pueden examinar los mods en un depurador (OllyDBG) u otra herramienta (qué tipo)?

De nuevo, esto dependería de lo que es el mod y lo que hace. Ciertamente, puedes revisar los archivos .exe en un depurador, pero francamente no los ejecutaría en absoluto. O ejecútelos en una VM si realmente debe ejecutarlos para verificarlos en un depurador.

Hay diferentes tipos de mods.

• Mods que agregan o reemplazan archivos de contenido del juego como imágenes, modelos o mapas. Por lo general, estos deberían ser inofensivos, a menos que exploten un error en el motor del juego que maneja estos activos.
• Mods que agregan lógica de juego en forma de scripts. Muchos juegos tienen un motor de scripting que permite a los mods realizar una lógica programada limitada. A veces, estos motores de secuencias de comandos son muy potentes y no están correctamente protegidos, por lo que permiten a los mods hacer cosas que un mod no debe hacer, como por ejemplo acceder a archivos que no forman parte del juego y abrir conexiones de red.
• Mods que parchean o reemplazan el ejecutable del juego. Estos siempre son peligrosos, porque pueden convertir el ejecutable del juego en malware cuando lo deseen. También tenga cuidado con cualquier mod que venga con un .DLL, ya que estos también contienen código binario que se ejecuta en el contexto del ejecutable del juego.
• Mods que tienen un componente ejecutable. Puede ser un instalador que se ejecuta una vez o un programa complementario que se ejecuta mientras se ejecuta el juego. No hace falta decir que estos también tienen el privilegio de hacer lo que quieran.

Voy a lanzar un fragmento de paranoia aquí (simplemente por las cosas que he estado haciendo recientemente en el hardware de la consola), mientras que el contenido ejecutable directo definitivamente hace la vida muy fácil para un atacante, no es el único vector, todo toma un búfer controlado en un archivo de datos de juegos y, de repente, tienes la posibilidad de aplastar la pila. En un ejecutable que ya tiene un montón de capacidad de disco y red, mientras que más allá de la capacidad de su persona promedio, podría ser muy posible tomar un "mapa" o "modelo" y leer / escribir archivos en el disco, abrir sockets, tal vez escribir en el registro de Windows tal vez instalando un registrador de claves o quién sabe qué.

Es solo un pequeño paso desde allí para ejecutar tu propio código en lugar de las llamadas de función alteradas en dicho juego. Y luego tienes la propiedad completa del usuario de un sistema dado