Um zu verstehen, wie Cheats funktionieren, müssen Sie ihren Gegner verstehen – den Anti-Cheat. Moderne Schutzsysteme sind komplexe Softwarepakete, die auf mehreren Ebenen gleichzeitig arbeiten. Lassen Sie uns aufschlüsseln, wie sie von innen funktionieren.

Zwei Bedienebenen: Benutzermodus und Kernel-Modus

Alle Anti-Cheats können nach ihrer Berechtigungsstufe kategorisiert werden.

Benutzermodus-Anti-Cheats

Arbeiten auf derselben Ebene wie normale Programme (Ring 3). Sie können:

  • Prozesse scannen – nach bekannten Cheats anhand von Signaturen (Datei-Hashes, Speicherzeichenfolgen) suchen
  • Dateiintegrität prüfen – Spieldatei-Prüfsummen mit Referenzwerten vergleichen
  • Speicherzugriff überwachen – verfolgen, welche Prozesse den Speicher des Spiels lesen
  • Fenster überprüfen – nach über dem Spiel platzierten Overlays suchen

Einschränkung: a Benutzermodus-Anti-Cheat kann nicht sehen, was im Kernel passiert. Ein Cheat auf Kernel-Ebene kann vor einem solchen Scanner vollständig verborgen bleiben.

Kernel-Modus-Anti-Cheats

Arbeiten auf der Kernel-Ebene des Betriebssystems (Ring 0) – der gleichen Ebene, auf der Gerätetreiber ausgeführt werden. Dies gibt ihnen praktisch unbegrenzte Möglichkeiten:

  • Vollständiger Speicherzugriff – einschließlich Kernel-Speicher, in dem sich Cheats verstecken können
  • Abfangen von Systemaufrufen – Verfolgen des gesamten Speicher-, Datei- und Registrierungszugriffs
  • Treiberinspektion – Auffinden nicht autorisierter oder anfälliger Treiber
  • Überwachung vor dem Spiel – einige Last beim Windows-Start
  • Erkennung versteckter Prozesse – selbst wenn ein Cheat seine Funktion verbirgt Prozess, ein Anti-Cheat im Kernel-Modus kann ihn finden

Zu den Anti-Cheats im Kernel-Modus gehören: Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty).

Kernerkennungsmethoden

1. Scannen von Unterschriften

Die älteste und einfachste Methode. Der Anti-Cheat verwaltet eine Signaturdatenbank – einzigartige Bytesequenzen, die für bekannte Cheats charakteristisch sind. Beim Scannen wird nach Übereinstimmungen gesucht in:

  • Geladenen Modulen und DLLs
  • Spielprozessspeicher
  • Dateien auf der Festplatte
  • Kernel-Treibern

Umgehung: Cheat-Entwickler verschleieren Code (Ändern von Signaturen) bei jedem Update. Aus diesem Grund erhalten Cheats, die in die Signaturdatenbank gelangen, den Status Erkannt – ihr eindeutiger 'Fingerabdruck' ist dem Anti-Cheat bekannt.

2. Speicherüberwachung

Anti-Cheat verfolgt, welche Prozesse und Treiber auf den Spielspeicher zugreifen:

  • API-Hooks – Funktionen wie ReadProcessMemory, WriteProcessMemory
  • Speicherseitenschutz abfangen – spezielle Flags für kritische Spielspeicherbereiche setzen
  • Rückrufbenachrichtigungen – Benachrichtigungen für neue Prozesse registrieren Erstellung, Thread-Erstellung, Modulladen

3. Integritätsprüfungen

Anti-Cheat überprüft, ob Spielcode und Ressourcen nicht geändert wurden:

  • Codeabschnitt-Hashes – Prüfsummen ausführbarer Abschnitte im Vergleich mit Referenzwerten
  • Hook-Erkennung – Suche nach geänderten Funktionen (JMP-/Aufrufanweisungen, die nicht vorhanden sein sollten)
  • IAT/EAT-Prüfungen – Import-/Exporttabellen dürfen keine Inhalte enthalten Auswechslungen

4. Treiberüberprüfung

Kernelmodus-Anti-Cheats-Kontrollsystemtreiber:

  • Whitelist/Blacklist – erlaubte und verbotene Treiber durch Hash oder Signatur
  • Signaturüberprüfung – Windows erfordert Signaturen zum Laden der Treiber (Secure Boot + DSE). Cheats umgehen dies durch anfällige signierte Treiber (BYOVD) oder Zuordnung
  • Erkennung zugeordneter Treiber – Suche nach Code im Kernel, der nicht als legitimer Treiber registriert ist

5. Verhaltensanalyse

Moderne Anti-Cheats gehen über das Scannen hinaus – sie analysieren Spielerverhalten:

  • Statistische Anomalien – unmenschliche Kopfschuss-Prozentsätze, perfektes Tracking durch Wände
  • Eingabeanalyse – Mausbewegungsmuster, Reaktionsgeschwindigkeit, Gleichmäßigkeit der Tastenanschläge
  • Serverseitige Überprüfungen – der Server vergleicht Spieleraktionen mit dem, was sie 'sehen sollten' (Sichtbarkeit des Feindes, Reaktionszeit)
  • Maschinelles Lernen – einige Anti-Cheats (Ricochet) verwenden ML-Modelle, um Identifizieren Sie atypisches Verhalten

Verhaltensanalyse ist der Grund, warum selbst ein unentdeckter Cheat zu einem Verbot führen kann, wenn er zu aggressiv eingesetzt wird.

Wichtige Anti-Cheats: Details

Easy Anti-Cheat (EAC)

Spiele: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt: Showdown

Stufe: Kernel-Modus

Hauptfunktionen:

  • Kernel-Komponente wird beim Start des Spiels geladen
  • Aggressiver Kernel-Speicherscan
  • Häufige Aktualisierungen der Signaturdatenbank
  • Erfassung der Systemtelemetrie
  • Überprüfung der Spieldateiintegrität

EAC ist einer der am weitesten verbreiteten Anti-Cheats. Seine Stärke liegt in der Update-Häufigkeit: Regelmäßig werden neue Signaturen hinzugefügt, was den Cheat-Entwicklern das Leben schwerer macht. Detaillierte EAC-Anleitung →

BattlEye

Spiele: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Level: Kernel-Modus

Taste Features:

  • Kernel-Treiber mit tiefem Zugriff
  • Aktives User-Mode- und Kernel-Mode-Scanning
  • Serverseitige Heuristik – Verhaltensanalyse auf der Serverseite
  • Blacklist für gefährdete Treiber
  • Wave-Ban- und Instant-Ban-Systeme

BattlEye ist bekannt für aggressive clientseitige Arbeit – es inspiziert das System und nutzt gründlich zahlreiche Rückrufe zur Überwachung. Ausführlicher BattlEye-Leitfaden →

Vanguard

Spiele: Valorant

Level: Kernel-Modus (wird beim Start von Windows geladen)

Hauptfunktionen:

  • Startet beim Booten des Betriebssystems – nicht wann Das Spiel wird gestartet, aber wenn der Computer eingeschaltet wird
  • Erfordert sicheren Start und TPM
  • Blockiert anfällige Treiber vor dem Spielstart
  • Überwacht das System kontinuierlich
  • Sofortige Sperren für erkannte Cheats

Vanguard ist der aggressivste Mainstream-Anti-Cheat. Aufgrund des frühen Boot-Loadings ist das Umgehen deutlich schwieriger als bei der Konkurrenz. Ausführlicher Vanguard-Leitfaden →

Ricochet

Spiele: Call of Duty (Warzone, MW, BO6)

Level: Kernel-Modus + Serverseite

Hauptfunktionen:

  • Kernel-Level-Clientseite Treiber
  • Serverkomponente mit ML – maschinelles Lernen für Verhaltensanalyse
  • 'Bestrafung' statt sofortiger Sperren – kann Damage Shield aktivieren und die Sichtbarkeit von Betrügern verringern
  • Ändert die Erkennungsmethoden jede Saison

Ricochets Einzigartigkeit liegt in seinem serverseitigen Fokus. Auch wenn die Client-Komponente den Betrüger nicht erkennt, kann die Serveranalyse einen Betrüger anhand seines Verhaltens identifizieren. Detaillierte Ricochet-Anleitung →

VAC (Valve Anti-Cheat)

Spiele: CS2, Team Fortress 2, Dota 2

Level: Benutzermodus

Hauptfunktionen:

  • Läuft vollständig im Benutzermodus (Ring 3)
  • Signaturscan von Prozessen und Modulen
  • Wellenverbote – sammelt Daten stillschweigend und verbietet Wochen/Monate später massenhaft
  • Keine Kernel-Level-Komponente

VAC scheint weicher als die Konkurrenz, aber seine Strategie der 'stillen Sammlung' täuscht: Ein Cheat könnte wochenlang funktionieren, dann kommt es zu einer Verbotswelle. Ergänzt durch Overwatch (Spielerwiederholungsanalyse) und VACNet (ML-System für CS2).

Was Anti-Cheats über Ihr System wissen

Kernel-Modus-Anti-Cheats sammeln umfangreiche Informationen:

  • HWID – Festplatte, Motherboard, Netzwerkkarte, GPU, RAM-Kennungen
  • Prozessliste – alle laufen Programme
  • Geladene Treiber – vollständige Liste mit Hashes
  • Installierte Programme – über die Registrierung
  • Windows – Liste der Fenster und ihrer Eigenschaften
  • Netzwerkverbindungen – aktive Verbindungen

Diese Informationen werden zur Analyse an Anti-Cheat-Server gesendet. Genau aus diesem Grund ist ein HWID-Spoofer ein entscheidender Teil des Schutzes.

Evolution: Von Signaturen zur KI

Anti-Cheats werden immer intelligenter:

  • 2000er – reines Signaturscannen, Benutzermodus
  • 2010er – Kernelmodus-Treiber, erweitert Telemetrie
  • 2020er – maschinelles Lernen, Verhaltensanalyse, serverseitige Überprüfungen, frühes Laden des Bootvorgangs

Der Trend ist klar: serverseitige Verhaltensanalyse wird wichtiger als clientseitiges Scannen. Das bedeutet, dass selbst ein perfekt getarnter Betrüger durch verdächtiges Gameplay erwischt werden kann. Deshalb ist richtiges Verhalten im Spiel genauso wichtig wie die Qualität des Cheats.

Wie sich dies auf die Cheat-Auswahl auswirkt

  • Benutzermodus-Anti-Cheat (VAC) → selbst ein einfacher externer Cheat kann lange Zeit unentdeckt bleiben
  • Kernel-Modus ohne frühen Start (EAC, BattlEye) → erfordert einen Cheat auf Kernel-Ebene oder DMA
  • Kernel-Modus mit frühem Booten (Vanguard) → im schwierigsten Fall ist DMA die zuverlässigste Option
  • Serverseitige Analyse (Ricochet) → technische Nichterkennbarkeit reicht nicht aus; legitimes Gameplay ist notwendig

Mehr über Cheat-Typen und ihre Interaktion mit Anti-Cheats: Wie Cheats funktionieren.

IVSOFTE-Katalog – Cheats mit aktuellem Status für jeden Anti-Cheat. Katalog durchsuchen →