كيف تعمل غش الألعاب — شرح الداخلي والخارجي والنواة وDMA
تحليل تقني معمّق لكيفية عمل غش الألعاب عبر الإنترنت: أنواع الحقن، الخارجي مقابل الداخلي، تعريفات على مستوى النواة، الطبقات، قراءة/كتابة الذاكرة. دليل مناسب للمبتدئين.
إن عمليات الغش في اللعبة ليست سحرية — فهي عبارة عن برامج معقدة تقنيًا تتفاعل مع عملية اللعبة على مستويات مختلفة. تشرح هذه المقالة كيفية عمل عمليات الغش فعليًا تحت الغطاء: بدءًا من قراءة الذاكرة الأساسية وحتى برامج التشغيل على مستوى kernel وحلول DMA للأجهزة.
الأساسيات: كيفية تخزين الألعاب للبيانات
كل لعبة عبر الإنترنت عبارة عن برنامج يقوم بتخزين المعلومات في ذاكرة الوصول العشوائي (RAM): مواقع اللاعبين، والصحة، والأسلحة، والعناصر، وحالة الخريطة. يتلقى عميل اللعبة هذه البيانات من الخادم ويعرضها على الشاشة.
تقوم عملية الغش بشكل أساسي بأحد أمرين:
- يقرأ الذاكرة — يستخرج البيانات المخفية (مواقع العدو خلف الجدران) ويعرضها لك (ESP، الرادار)
- يكتب في الذاكرة — يعدل سلوك اللعبة (مساعدة التصويب، وإزالة الارتداد، وتغييرات السرعة)
يكمن الفرق بين أنواع الغش في كيفية وصولهم إلى هذه الذاكرة وما هو مستوى الامتياز الذي يعملون فيه.
الغش الداخلي - حقن العمليات
كيفية عمله
يقوم الغش الداخلي بإدخال الكود الخاص به (DLL) مباشرة في عملية اللعبة. بعد الحقن، يعمل رمز الغش داخل اللعبة كما لو كان جزءًا منها — مع إمكانية الوصول الكامل إلى جميع الذاكرة والوظائف.
عملية الحقن:
- يعثر المُحمل على عملية اللعبة في النظام
- يخصص الذاكرة داخل تلك العملية
- يكتب رمز الغش (DLL) في الذاكرة المخصصة
- ينشئ سلسلة تنفيذ - يبدأ رمز الغش التشغيل
المزايا
- الوصول الكامل - يرى الغش جميع بيانات اللعبة مباشرة، بدون طبقات وسيطة
- الحد الأقصى من الميزات - aimbot، ESP، chams، Triggbot، بدون ارتداد، وأي تعديلات.
- أداء عالي - لا يوجد حمل من قراءة الذاكرة الخارجية
- العرض داخل اللعبة - يتم رسم ESP والقوائم عبر خطافات DirectX/Vulkan، التي تظهر كجزء من اللعبة.
المخاطر
تقوم مكافحة الغش بفحص ذاكرة عملية اللعبة ويمكنها اكتشاف التعليمات البرمجية الأجنبية. كما أنه يتحقق أيضًا من ربطات العرض والوظائف المعدلة وسلاسل التنفيذ المشبوهة. ولهذا السبب يقوم مطورو برامج الغش الداخلي بتحديث أساليب التهرب الخاصة بهم باستمرار.
عمليات الغش الخارجية - العمل من الخارج
كيفية عملها
الغش الخارجي عبارة عن عملية منفصلة تعمل جنبًا إلى جنب مع اللعبة. يقرأ ذاكرة اللعبة "من الخارج" عبر واجهات برمجة تطبيقات النظام (على سبيل المثال، ReadProcessMemory على Windows) أو من خلال برنامج تشغيل مخصص.
لعرض المعلومات، يستخدم تراكب — نافذة شفافة توضع أعلى اللعبة حيث يتم رسم مربعات ESP والخطوط والعناصر الأخرى.
التراكب - ما هو
التراكب هو نافذة شفافة بالكامل موضوعة فوق نافذة اللعبة. يقوم الغش برسم معلومات مرئية عليه: المربعات حول اللاعبين، أشرطة الصحة، المسافة. بالنسبة لك، تبدو وكأنها جزء من اللعبة، ولكنها من الناحية الفنية نافذة منفصلة.
تستخدم التراكبات المتقدمة أساليب التجاوز بحيث لا تتمكن مكافحة الغش من اكتشاف هذه النافذة.
المزايا
- لا يتم إدخالها في اللعبة - لا توجد تعليمات برمجية أجنبية داخل عملية اللعبة
- أسهل في التحديث - لا تعتمد على العرض الداخلي للعبة البنية
- يمكنها البقاء على قيد الحياة في تحديثات اللعبة - إذا لم تتغير هياكل البيانات
القيود
- ميزات أقل - صعوبة تنفيذ chams وTrangerbot وتعديلات العرض
- يمكن اكتشاف التراكب — فحص مكافحة الغش للنوافذ الموضوعة فوق اللعبة
- قراءة الذاكرة الخارجية — وصول مراقبي مكافحة الغش إلى ذاكرة عملية اللعبة
غش على مستوى Kernel - طبقة Kernel لنظام التشغيل
كيفية عملها
مستوى Kernel هو الطبقة الأكثر امتيازًا في نظام التشغيل. تعمل البرامج العادية في وضع المستخدم (الحلقة 3)، بينما تعمل نواة نظام التشغيل وبرامج التشغيل في وضع kernel (الحلقة 0).
يقوم الغش على مستوى kernel بتحميل برنامج تشغيل مخصص إلى نواة Windows. يتمتع برنامج التشغيل هذا بأقصى قدر من الامتيازات:
- يمكنه قراءة وكتابة أي ذاكرة في النظام
- يمكنه إخفاء العمليات والملفات
- يمكنه اعتراض مكالمات النظام
- يعمل بنفس مستوى مكافحة الغش نفسه
Ring 0 vs Ring 3
تحتوي معالجات Intel وAMD على نظام "حلقات الحماية":
- Ring 3 (وضع المستخدم) — البرامج والألعاب والمتصفحات العادية. محدود الوصول
- الحلقة 0 (وضع kernel) - نواة نظام التشغيل وبرامج التشغيل ومكافحة الغش. الوصول الكامل إلى كل شيء
عند تشغيل برنامج مكافحة الغش في Ring 0 (مثل Vanguard أو EAC)، يتم اكتشاف الغش الخارجي العادي في Ring 3 بسهولة. يتم رفع مستوى الغش على مستوى kernel إلى نفس مستوى مكافحة الغش، مع اكتساب قدرات متساوية.
طرق تحميل برنامج التشغيل
- التخطيط اليدوي — تحميل برنامج التشغيل في ذاكرة kernel بدون تسجيل النظام. لا يترك أي أثر في قائمة برامج التشغيل
- استغلال برامج التشغيل الضعيفة (BYOVD) - استخدام برنامج تشغيل خارجي شرعي ولكنه ضعيف للوصول إلى kernel
- برنامج تشغيل موقّع - إذا كان لدى المطور شهادة توقيع التعليمات البرمجية (شهادة EV)، يتم تحميل برنامج التشغيل من خلال الوسائل القياسية
سبب أهمية ذلك
غش على مستوى kernel يمكنه:
- قراءة ذاكرة اللعبة بشكل غير مرئي للماسحات الضوئية لوضع المستخدم
- إخفاء عمليتها وملفاتها من مكافحة الغش
- تجاوز عمليات التحقق من سلامة kernel
- التشغيل قبل بدء مكافحة الغش
DMA - مستوى الأجهزة
يتبع DMA (الوصول المباشر للذاكرة) نهجًا مختلفًا تمامًا. بدلاً من الوصول إلى الذاكرة المستندة إلى البرامج، يقرأ جهاز فعلي (بطاقة PCIe) ذاكرة الوصول العشوائي (RAM) ل��كمبيوتر الشخصي المخصص للألعاب مباشرةً من خلال ناقل PCIe.
يتم نقل البيانات إلى كمبيوتر ثانٍ حيث يتم تشغيل برنامج الغش. لا يقوم جهاز الكمبيوتر المخصص للألعاب بتشغيل أي برامج أجنبية، بل يقوم فقط بتشغيل اللعبة. لا تستطيع مكافحة الغش اكتشاف الغش لأنه ببساطة غير موجود على هذا النظام.
مقارنة تفصيلية بين DMA وغش البرامج في مقالتنا: DMA مقابل عمليات غش البرامج.
وحدات الماكرو - لا يمكن الوصول إلى الذاكرة
تتميز وحدات الماكرو عن بعضها البعض. إنهم لا يقومون بقراءة أو تعديل ذاكرة اللعبة. وبدلاً من ذلك، فإنها تعمل على أتمتة إجراءات لوحة المفاتيح والماوس - على سبيل المثال، تعويض ارتداد السلاح بسلسلة من حركات الماوس الدقيقة.
تعمل وحدات الماكرو على مستوى جهاز الإدخال (الماوس ولوحة المفاتيح) أو من خلال برامج محاكاة. نظرًا لأنها لا تتفاعل مع عملية اللعبة، فمن الصعب اكتشافها - ولكن بعض برامج مكافحة الغش تحلل أنماط الإدخال ويمكنها تحديد السلوك غير الطبيعي.
كيف "يرى" الغش الأعداء عبر الجدران
أحد الأسئلة الأكثر شيوعًا: كيف يُظهر ESP الأعداء غير المرئيين على الشاشة؟
يعرف عميل اللعبة مواقع جميع اللاعبين داخل نطاق معين - يرسل الخادم هذه البيانات للصوت الحسابات، الخريطة المصغرة، التحميل المسبق للنموذج. تقوم عملية الغش ببساطة باستخراج هذه الإحداثيات من الذاكرة ورسمها على الشاشة - الصناديق، والهياكل العظمية، والمسافة.
تستخدم بعض الألعاب فحوصات الرؤية من جانب الخادم - ولا يرسل الخادم بيانات حول اللاعبين خلف الجدران. وهذا يجعل ESP أكثر صعوبة ولكنه ليس مستحيلًا - عادةً ما تصل البيانات في وقت مبكر قليلاً، قبل أن يصبح اللاعب مرئيًا.
كيف "يستهدف" Aimbot بالنسبة لك
يعرف Aimbot إحداثيات العدو (من ذاكرة اللعبة) وموقع علامة التصويب الخاصة بك. فهو يحسب الزاوية اللازمة لتشغيل الكاميرا، ثم:
- يكتب زوايا جديدة إلى ذاكرة اللعبة (aimbot داخلي) - فوري ولكن محفوف بالمخاطر.
- يحاكي حركة الماوس (aimbot خارجي) - أكثر سلاسة ويصعب اكتشافه.
- يرسل الإدخال عبر KmBox (DMA aimbot) - عبر محاكي إدخال الأجهزة
متقدم تضيف aimbots التنعيم، وحدود مجال الرؤية، والتأخير لجعل الحركات تبدو بشرية.
المقارنة الجدول
| النوع | المستوى | الميزات | الأمان | التعقيد |
|---|---|---|---|---|
| داخلي | وضع المستخدم (Ring) 3) | الحد الأقصى | متوسط | متوسط |
| خارجي | وضع المستخدم (الحلقة 3) | ESP، رادار | أعلاه متوسط | منخفض |
| النواة | وضع النواة (الحلقة 0) | الحد الأقصى | مرتفع | مرتفع |
| DMA | الأجهزة | ESP، رادار، الهدف (باستخدام KmBox) | مرتفع جدًا | مرتفع جدًا |
| وحدات الماكرو | أجهزة الإدخال | لا يوجد ارتداد | مرتفع | منخفض |
ماذا تختار
يعتمد اختيارك على الأولويات:
- الحد الأقصى من الميزات → داخلي أو على مستوى النواة
- التوازن بين الميزات والأمان → مستوى النواة أو الجودة الخارجية
- أقصى قدر من الأمان → DMA
- التحكم في الارتداد فقط → وحدات الماكرو
دليل الاختيار التفصيلي: كيفية اختيار الغش. أوصاف الميزات (ESP وAimbot وWallhack): دليل ميزات الغش.
كتالوج الغش IVSOFTE - غش داخلي وخارجي وعلى مستوى النواة وDMA للألعاب الشائعة. تصفح الكتالوج →