オンラインゲームのチート対策としてよく利用されているnProtect GameGuardだが、管理者権限のないユーザーで起動しても勝手にSYSTEMプロセスを起動したりと、怪しい動作が気になったので動作を観察してみた。
一つ判明したのは、User Privilege Service (usprserv) というサービスの存在。GameGuardは最初に起動するときに、このサービスを勝手に作成する模様だ。このため、最初の起動は管理者権限がないとエラーが発生する。一度作成されてしまえば、それ以後は管理者権限がなくてもエラーは発生しないようだ。
また、おかしなことなのだが、このサービスにはサービスの実態である実行ファイルが設定されない。通常ならサービスとして開始することができないのだが、システムログによるとどういうわけか開始と停止が記録されていたりする。管理者権限のないユーザーが、勝手に実行ファイルを設定してサービスを開始することができるようだと、マルウェアに悪用されないか不安だね。