主流游戏对Linux爱答不理的问题，要被微软治好了

摘要：“他们都不看好你，可你偏偏最争气”，这句话简直是为valve的掌机Steam Deck量身定制。Steam Deck的空前成功甚至让游戏掌机这个曾经被智能手机打得找不着北的品类，重新焕发了生机，也激活了手持游戏设备这一细分市场。然而Steam Deck并非适合

“他们都不看好你，可你偏偏最争气”，这句话简直是为valve的掌机Steam Deck量身定制。Steam Deck的空前成功甚至让游戏掌机这个曾经被智能手机打得找不着北的品类，重新焕发了生机，也激活了手持游戏设备这一细分市场。然而Steam Deck并非适合所有人，比如《战地》系列的玩家。

就在《战地6》即将上线的时候，其开发商EA方面宣布这款新游戏不兼容Steam Deck，外界则普遍认为是EA采用的反作弊系统无法运行在Steam Deck所搭载的SteamOS系统上。从某种意义上来说，EA的这个决定也反映了当下Linux、macOS游戏生态的尴尬，即后者繁荣的基础其实是基于“Windows兼容层”来实现的。

Linux和macOS之所以能在过去两年迎来游戏数量的大爆发，并非源于原生游戏生态的建设，而是通过技术手段实现了对Windows（DirectX）的兼容，在Linux上是valve的Proton、macOS上则是苹果的Game Porting Toolkit。但这种将Windows游戏“编译”到Linux、macOS的做法并非没有代价，毕竟配套软件的缺失短时间内无法补上。

比如，AMD与英伟达的显卡驱动虽通过开源社区的努力已经能够在Linux上运行，可AMD Radeon、英伟达GeForce GameReady软件却还没法使用，这就导致DLSS、FSR需要非常复杂的手动配置才能在Linux设备上使用。而反作弊则更是Linux游戏生态需要补课的重点，其对于反作弊的支持不足也导致了对反作弊是刚需的FPS、MMORPG游戏与之无缘。

事实上，反作弊几乎是网络游戏的终极课题之一，在过去二十余年间，不知有多少优秀的游戏都是因外挂问题中道崩阻。为了延长游戏的生命力以赚取更多利润，反作弊由此也就成为了网游的刚需。可遗憾的是，由于Linux在游戏领域的缺位时间过于漫长，再加上PC游戏开发者长期忽视Linux，所以大量的反作弊程序都是基于Windows实现。

最初的游戏外挂是以软件形式为主，它们利用网络游戏为降低服务端压力，将大量计算放在本地客户端的特点，通过修改客户端与服务端的数据通讯实现外挂的效果。例如早期的《传奇》就是把技能、目标、坐标等数据，以不加密明文的方式发包，外挂制作者利用这一点打造了大名鼎鼎的免蜡封包外挂。

随着《传奇》成为外挂的重灾区，游戏开发者就开始加密数据包，这时候外挂制作者又盯上了用于数据交互的内存，通过修改游戏本地内存里的数据实现功能增强。那么问题就来了，由于内存不仅仅处理游戏数据，还需要处理其他应用的数据，这使得游戏厂商不可能对内存进行加密，也导致内核级的反作弊程序应运而生。

比如，Epic Games的“小蓝熊”Easy Anti-Cheat、EA用在《战地6》上的Javelin，就都是Windows内核级运行的反作弊程序。内核级的反作弊之所以会被业界视为反外挂的“救星”，是因为Windows内核有特权，其允许运行在内核层的程序完全无限制地访问系统及其资源，能够监控游戏进程和系统行为，并结合签名检测、启发式分析，以及动态扫描来拦截外挂进程与注入行为。

EA方面公布的相关数据显示，截至2025年4月，Javelin累计阻止了超过3300万次作弊尝试，涉及22亿次游戏会话，并在多个热门游戏中将作弊率下降了一半以上。

所以缺乏对内核级反作弊程序的支持，就是一切对公平性有刚需的游戏拒绝Linux的根源。

不过Steam Deck的用户也不需要太过担忧，因为微软会出手帮助Linux来解决反作弊支持不足的问题。当然，拥有Windows的微软也不是急公好义，他们只是在解决另一个问题的同时，顺带让Windows和Linux对内核级反作弊的支持回到原点。

此前在2024年9月，微软发布博客文章称，他们正致力于“为内核模式之外的解决方案提供商提供更多安全功能”。这一博文的背景，是发生在同年7月19日的850万台Windows设备出现蓝屏死机事件。彼时，美国网络安全巨头CrowdStrike在例行更新中，出现了一项逻辑错误。

并非微软的错误、却牵连到Windows设备，是因为他们在2009年与与欧盟方面达成了一项互操作性协议，所以不得不向安全软件制造商授予与自身相同的Windows访问权限。这就导致作为网络安全巨头的CrowdStrike，在Windows内核释放了一个逻辑炸弹，成功“炸毁”了全球范围内使用CrowdStrike旗下产品的Windows设备。

以此为契机，为了防止再次出现CrowdStrike错误更新导致严重后果，微软方面开始尝试重新封闭Windows内核。一旦他们下决心封闭Windows内核，运行在此的内核级反作弊程序就相当于变成了无源之水。

当然，即便没有上述黑天鹅事件，微软也有理由取缔内核模式的反作弊。因为反作弊工具都会试图在系统调用入口（即Windows的SSDT）上安装hook函数，而这些hook很容易与其他驱动和Windows本身的安全机制产生冲突。

实际上微软也有自己的反作弊机制，即Windows 11默认开启的虚拟化安全性（VBS）和Hypervisor强制代码一致性检查（HVCI）。其中，VBS是Xbox seres X/S使用的安全技术，是通过Hyper-V虚拟化技术来确保内核页面的权限和内容不被篡改，阻止外挂hook系统调用，并通过强制启用IOMMU阻止外置DMA硬件读取系统内存。