首日销售额达到8200万美元，相当于全球每7秒就有一位新玩家进入浣熊市，今年开年第一款现象级大作无疑非《生化危机：安魂曲》莫属。然而对于“炒冷饭大师”卡普空来说，如果没有“DenuvOwO”，《生化危机：安魂曲》的市场表现可能还会更上一层楼。

“发售一小时，D加密（Denuvo）就被干碎”，这便是黑客组织“DenuvOwO”在《生化危机：安魂曲》上取得的战绩，以至于这款游戏的“学习版”在互联网上几乎随处可见。

那么问题就来了，DenuvOwO是如何攻破D加密呢？

作为如今游戏领域最知名、最有效的反篡改（Anti-Tamper）技术，D加密的运作机制其实至今都是一个谜，但外界普遍认为该技术的原理，是由基于源码混淆加密软件/虚拟机保护软件VMProtect的授权认证模块和篡改检测模块组成，能够保护游戏中有关DRM模块的二进制文件不被修改，从而避免游戏本身被逆向。

在首次启动带有D加密的游戏时，反篡改模块就会将玩家的硬件和系统信息发送至Denuvo公司的服务器，以取得唯一密钥存储在本地。此外，集成于游戏可执行文件的D加密还会根据不同的游戏，在游戏进程中设置不同的触发机制来进行实时校验。

当然，D加密并非十全十美，不仅必须联网验证，还需要占用额外的性能开销，普遍会让游戏帧率下降10%左右。事实上，以挥霍硬件性能的方式来保护游戏厂商的知识产权，也使得D加密在玩家社区颇受争议，但玩家们也不得不承认这项技术在反编译（Reverse Engineering）上的强大实力。

但不从正面攻破D加密的防护并非不可能，只不过以往的成功案例通常是建立在破解组织花费数周时间的基础上。然而作为文化产品的游戏与电影一样，销售额往往高度集中在上市前两周，所以D加密能保住游戏在首销期的“金身”就已经足够。

《生化危机：安魂曲》的情况就不一样了，DenuvOwO实现了发售首日即破解，一如二战时的德军那样绕过了D加密建立的“马奇诺防线”，使用了名为Hypervisor（虚拟机监控器）方式绕过了这套防护体系。

据悉，DenuvOwO在购买了一份《生化危机：安魂曲》后，提取了D加密下发的合法认证信息，并在操作系统底层的Hypervisor上套了一层“模拟硬件层”，让游戏误以为自己运行在正版环境里，从而绕过版权检测。简单来说，黑客其实是玩了一手家庭共享会员，只不过共享的范围不止亲朋好友，而是全世界的盗版玩家。

以往黑客破解D加密其实是“猫鼠游戏”，是围绕校验文件的完整性进行攻防，而DenuvOwO这次则转移了战场，制造了一个虚拟环境来欺骗D加密，让游戏以为自己运行在正常的环境中。

事实上，D加密的防护被绕过，微软可以说是难辞其咎。

Windows在内核驱动程序信任机制的历史欠账，让D加密遭遇了池鱼之殃。本世纪初，为了快速壮大Windows生态，微软推出了交叉签名根程序，允许第三方合作伙伴向数字证书颁发机构（CA）申请证书，微软再用自己的根证书交叉签名，以方便Windows内核快速信任第三方驱动。

有了交叉签名根程序，联想、戴尔等OEM伙伴的驱动得以无缝切入Windows内核，这也是为什么Windows PC在过去二十年风靡全球的原因之一。虽然微软大手一挥，让第三方合作伙伴解决了驱动问题，但代价却是第三方驱动的安全审核形同虚设。

当然，微软方面不是没有意识到风险，他们在2021年就已经废除了交叉签名根程序。可是由于数量庞大的企业级客户依然在使用Windows 7、乃至更老的系统版本，就使得Windows内核仍然信任曾经使用交叉签名的旧版驱动。如此一来，黑客就利用了这个历史遗留问题，利用第三方驱动的漏洞获取了操作Hypervisor的权限。

有了Hypervisor权限，无论D加密如何进行验证，就都只能得到正版游戏的认证信息。好在《生化危机：安魂曲》的遭遇不会重演，微软已经在数天前宣布即将对Windows 11内核安全进行更新，在Windows 11 24H2、25H2、26H1及后续版本中，撤销通过旧版交叉认证程序签名的旧驱动程序信任。

看到这里，大家是不是以为如果不更新Windows 11，未来就都不需要花钱买游戏了？如果有这样的认知，那么接下来的内容就务必仔细看完了。毫无疑问黑客不是慈善组织，通过Hypervisor绕过D加密同样还伴随着巨大的风险。

如果说在电脑里养一只“龙虾”（OpenClaw）的风险是滑雪，那么使用Hypervisor的风险就直接来到了翼装飞行的水平。因为它需要你首先进入BIOS关闭安全启动和内存完整性检查，再开启虚拟化。

这一连串行为的背后，是关闭了Windows的绝大多数安全防护，让电脑成为真正意义上的“裸奔”，面对木马、病毒再无抵抗之力。所以当你在B站、小红书、抖音上看到所谓的“一键虚拟机启动教程”最好还是别好奇，因为轻则要重装系统，重则可能会损失真金白银。