كيف تعمل أنظمة مكافحة الغش — النواة، وضع المستخدم، تحليل السلوك موضحًا
شرح تقني لأنظمة مكافحة الغش: النواة مقابل وضع المستخدم، Ring 0، توقيعات التعريفات، تحليل السلوك، الفحوصات من جانب الخادم. نظرة شاملة.
لفهم كيفية عمل أدوات الغش، عليك أن تفهم خصمها - مكافحة الغش. أنظمة الحماية الحديثة عبارة عن مجموعات برمجية معقدة تعمل على مستويات متعددة في وقت واحد. دعنا نحلل كيفية عملها من الداخل.
مستويان للتشغيل: وضع المستخدم ووضع Kernel
يمكن تصنيف جميع برامج مكافحة الغش حسب مستوى الامتياز الخاص بها.
برامج مكافحة الغش في وضع المستخدم
تعمل على نفس مستوى البرامج العادية (الحلقة 3). يمكنهم القيام بما يلي:
- فحص العمليات - البحث عن عمليات الغش المعروفة عن طريق التوقيعات (تجزئات الملف، سلاسل الذاكرة)
- التحقق من سلامة الملف - مقارنة المجاميع الاختبارية لملف اللعبة مع القيم المرجعية
- مراقبة الوصول إلى الذاكرة - تتبع العمليات التي تقرأ ذاكرة اللعبة
- التحقق من النوافذ - البحث عن التراكبات الموضوعة فوق اللعبة
القيود: لا يستطيع برنامج مكافحة الغش في وضع المستخدم رؤية ما يحدث في النواة. يمكن أن يختبئ الغش على مستوى kernel تمامًا من مثل هذا الماسح الضوئي.
برامج مكافحة الغش في وضع Kernel
تعمل على مستوى kernel لنظام التشغيل (الحلقة 0) - وهو نفس المستوى الذي تعمل فيه برامج تشغيل الأجهزة. وهذا يمنحهم إمكانات غير محدودة فعليًا:
- الوصول الكامل إلى الذاكرة - بما في ذلك ذاكرة kernel حيث قد يختبئ الاحتيال
- اعتراض مكالمات النظام - تتبع كل الذاكرة والملفات والوصول إلى التسجيل
- فحص برنامج التشغيل - العثور على برامج تشغيل غير مصرح بها أو ضعيفة
- مراقبة ما قبل اللعبة - يتم تحميل بعض عند بدء تشغيل Windows
- عملية مخفية الكشف — حتى إذا كان الغش يخفي عمليته، فيمكن لبرنامج مكافحة الغش في وضع kernel العثور عليه.
تتضمن برامج مكافحة الغش في وضع Kernel ما يلي: Vanguard (Valorant)، EAC (Easy Anti-Cheat)، BattlEye، وRicochet (Call of Duty).
الاكتشاف الأساسي الطرق
1. مسح التوقيع
الطريقة الأقدم والأكثر أساسية. تحتفظ مكافحة الغش بقاعدة بيانات التوقيع — وهي عبارة عن تسلسلات بايت فريدة تتميز بها عمليات الغش المعروفة. أثناء الفحص، يبحث عن التطابقات في:
- الوحدات النمطية المحملة ومكتبات الارتباط الحيوي (DLLs)
- ذاكرة عمليات اللعبة
- الملفات الموجودة على القرص
- برامج تشغيل Kernel
التجاوز: مطورو الغش تشويه التعليمات البرمجية (تغيير التوقيعات) مع كل تحديث. وهذا هو السبب وراء حصول المحتالين الذين يدخلون قاعدة بيانات التوقيع على حالة تم اكتشافه — حيث تكون "بصماتهم" الفريدة معروفة لدى مكافحة الغش.
2. مراقبة الذاكرة
تتبع مكافحة الغش العمليات وبرامج التشغيل التي تصل إلى ذاكرة اللعبة:
- خطافات واجهة برمجة التطبيقات - وظائف الاعتراض مثل
ReadProcessMemory،WriteProcessMemory - حماية صفحة الذاكرة - وضع علامات خاصة على مناطق ذاكرة اللعبة المهمة
- إشعارات رد الاتصال - تسجيل الإشعارات للجديد إنشاء العملية، إنشاء الخيط، تحميل الوحدة
3. فحوصات النزاهة
تتحقق مكافحة الغش من عدم تعديل كود اللعبة ومواردها:
- تجزئات قسم الكود - مقارنة المجاميع الاختبارية للقسم القابل للتنفيذ مع القيم المرجعية
- اكتشاف الخطاف - البحث عن الوظائف المعدلة (تعليمات jmp/call التي لا ينبغي أن تكون موجودة)
- فحوصات IAT/EAT - يجب ألا تحتوي جداول الاستيراد/التصدير البدائل
4. التحقق من برنامج التشغيل
برامج تشغيل نظام التحكم في مكافحة الغش في وضع Kernel:
- القائمة البيضاء/القائمة السوداء - برامج التشغيل المسموح بها والممنوعة عن طريق التجزئة أو التوقيع
- التحقق من التوقيع - يتطلب Windows التوقيعات لتحميل برنامج التشغيل (التمهيد الآمن + DSE). تتجاوز عمليات الغش هذا من خلال برامج التشغيل الموقعة الضعيفة (BYOVD) أو التعيين
- اكتشاف برامج التشغيل المعينة - البحث عن التعليمات البرمجية في النواة غير المسجلة كبرنامج تشغيل شرعي
5. التحليل السلوكي
تتجاوز أدوات مكافحة الغش الحديثة المسح - فهي تحلل سلوك اللاعب:
- الحالات الشاذة الإحصائية - النسب المئوية غير البشرية لطلقات الرأس، والتتبع المثالي عبر الجدران
- تحليل الإدخال - أنماط حركة الماوس، وسرعة رد الفعل، وتوحيد ضغطات المفاتيح
- الفحوصات من جانب الخادم - يقارن الخادم تصرفات اللاعب بما يفعله. "يجب أن يرى" (رؤية العدو، وقت رد الفعل)
- التعلم الآلي - تستخدم بعض برامج مكافحة الغش (Ricochet) نماذج تعلم الآلة تحديد السلوك غير النمطي
التحليل السلوكي هو السبب في أن الغش الذي لم يتم اكتشافه يمكن أن يؤدي إلى الحظر إذا تم استخدامه بقوة شديدة.
أهم عمليات مكافحة الغش: التفاصيل
سهلة مكافحة الغش (EAC)
الألعاب: Fortnite، Apex Legends، Rust، EFT Arena، Dead by Daylight، The Finals، Hunt: Showdown
المستوى: وضع Kernel
الميزات الرئيسية:
- يتم تحميل مكونات Kernel مع تشغيل اللعبة
- مسح قوي لذاكرة kernel
- تحديثات قاعدة بيانات التوقيع المتكررة
- مجموعة القياس عن بعد للنظام
- التحقق من سلامة ملف اللعبة
يعد EAC واحدًا من أكثر أدوات القياس انتشارًا. مكافحة الغش. تكمن قوتها في تكرار التحديث: تتم إضافة التوقيعات الجديدة بانتظام، مما يجعل الحياة أكثر صعوبة بالنسبة لمطوري الغش. دليل EAC التفصيلي →
BattlEye
الألعاب: Escape from Tarkov، Rainbow Six Siege، PUBG، DayZ، Arma 3، Unturned
المستوى: وضع Kernel
المفتاح الميزات:
- برنامج تشغيل Kernel مع وصول عميق
- وضع المستخدم النشط وفحص وضع kernel
- الاستدلالات من جانب الخادم - التحليل السلوكي من جانب الخادم
- القائمة السوداء للسائقين الضعفاء
- أنظمة الحظر الموجي والحظر الفوري
تشتهر BattlEye بالعمل العدواني من جانب العميل - فهي تفحص بعمق النظام ويستخدم العديد من عمليات الاسترجاعات للمراقبة. دليل BattlEye التفصيلي →
Vanguard
الألعاب: Valorant
المستوى: وضع Kernel (يتم التحميل عند بدء تشغيل Windows)
الميزات الرئيسية:
- يبدأ عند تشغيل نظام التشغيل - ليس عند إطلاق اللعبة، ولكن عند تشغيل الكمبيوتر
- يتطلب التمهيد الآمن وTPM
- حظر برامج التشغيل الضعيفة قبل بدء اللعبة
- مراقبة النظام بشكل مستمر
- الحظر الفوري لعمليات الغش المكتشفة
Vanguard هي الأكثر عدوانية لمكافحة الغش. إن تحميل التمهيد المبكر يجعل التجاوز أصعب بكثير من المنافسين. دليل Vanguard التفصيلي →
Ricochet
الألعاب: Call of Duty (Warzone, MW, BO6)
المستوى: وضع Kernel + جانب الخادم
الميزات الرئيسية:
- جانب العميل على مستوى Kernel برنامج التشغيل
- مكون الخادم مع ML - التعلم الآلي للتحليل السلوكي
- "العقوبة" بدلاً من الحظر الفوري - يمكنه تنشيط Damage Shield وتقليل رؤية الغشاش
- يغير طرق الكشف في كل موسم
يكمن تفرد Ricochet في تركيزه على جانب الخادم. حتى إذا ل�� يكتشف مكون العميل الغش، فيمكن لتحليل الخادم التعرف على الغشاش من خلال السلوك. دليل Ricochet التفصيلي →
VAC (مكافحة الغش في الصمامات)
الألعاب: CS2، Team Fortress 2، Dota 2
المستوى: وضع المستخدم
الميزات الرئيسية:
- يعمل بالكامل في وضع المستخدم (الحلقة 3)
- فحص التوقيع للعمليات والوحدات النمطية
- موجة الحظر - تجمع البيانات بصمت، وتحظر بشكل جماعي بعد أسابيع/أشهر
- لا يوجد مكون على مستوى النواة
يبدو VAC أكثر ليونة من المنافسين، ولكن استراتيجية "التجميع الصامت" الخاصة بها خادعة: قد يعمل الغش لمدة أسابيع، ثم تضرب موجة الحظر. مدعومًا بـ Overwatch (تحليل إعادة تشغيل اللاعب) وVACNet (نظام ML لـ CS2).
ما تعرفه برامج مكافحة الغش عن نظامك
تجمع برامج مكافحة الغش في وضع Kernel معلومات شاملة:
- HWID - القرص، واللوحة الأم، وبطاقة الشبكة، ووحدة معالجة الرسومات، ومعرفات ذاكرة الوصول العشوائي
- قائمة العمليات - جميعها قيد التشغيل البرامج
- برامج التشغيل المحملة - قائمة كاملة مع التجزئات
- البرامج المثبتة - عبر التسجيل
- Windows - قائمة النوافذ وخصائصها
- اتصالات الشبكة - ال��تصالات النشطة
يتم إرسال هذه المعلومات إلى خوادم مكافحة الغش لتحليلها. وهذا هو بالضبط السبب وراء كون تزييف HWID جزءًا مهمًا من الحماية.
التطور: من التوقيعات إلى الذكاء الاصطناعي
أصبحت مكافحة الغش أكثر ذكاءً:
- العقد الأول من القرن الحادي والعشرين - فحص التوقيعات النقي، ووضع المستخدم
- العقد الأول من القرن الحادي والعشرين - برامج تشغيل وضع kernel، موسعة القياس عن بعد
- 2020s - التعلم الآلي، والتحليل السلوكي، والفحوصات من جانب الخادم، وتحميل التمهيد المبكر
الاتجاه واضح: أصبح التحليل السلوكي من جانب الخادم أكثر أهمية من الفحص من جانب العميل. وهذا يعني أنه حتى الغش المقنع تمامًا يمكن اكتشافه من خلال اللعب المشبوه. ولهذا السبب فإن السلوك المناسب داخل اللعبة لا يقل أهمية عن جودة الغش.
كيف يؤثر ذلك على اختيار ا��غش
- مكافحة الغش في وضع المستخدم (VAC) → حتى الغش الخارجي البسيط يمكن أن يظل غير مكتشف لفترة طويلة
- وضع Kernel بدون مبكر التمهيد (EAC، BattlEye) → يتطلب غشًا على مستوى kernel أو DMA
- وضع Kernel مع التمهيد المبكر (Vanguard) → في الحالة الأصعب، DMA هو الخيار الأكثر موثوقية
- التحليل من جانب الخادم (Ricochet) → عدم إمكانية الاكتشاف الفني ليس كافيًا؛ اللعب الشرعي ضروري
المزيد حول أنواع الغش وتفاعلها مع برامج مكافحة الغش: كيف تعمل عمليات الغش.
كتالوج IVSOFTE — عمليات الغش بالحالة الحالية لكل مكافحة غش. تصفح الكتالوج →