Wie Game-Cheats funktionieren — Intern, Extern, Kernel, DMA erklärt
Technische Tiefenanalyse, wie Online-Game-Cheats funktionieren: Injektionstypen, extern vs. intern, Kernel-Treiber, Overlays, Speicher lesen/schreiben. Einsteigerfreundlicher Leitfaden.
Spiel-Cheats sind keine Zauberei – es handelt sich um technisch komplexe Programme, die auf verschiedenen Ebenen mit dem Spielablauf interagieren. Dieser Artikel erklärt, wie Cheats tatsächlich funktionieren unter der Haube: vom einfachen Speicherlesen bis hin zu Treibern auf Kernel-Ebene und Hardware-DMA-Lösungen.
Die Grundlagen: Wie Spiele Daten speichern
Jedes Online-Spiel ist ein Programm, das Informationen im RAM speichert: Spielerpositionen, Gesundheit, Waffen, Gegenstände, Kartenstatus. Der Spielclient empfängt diese Daten vom Server und stellt sie auf dem Bildschirm dar.
Ein Cheat macht im Wesentlichen eines von zwei Dingen:
- Liest den Speicher – extrahiert versteckte Daten (Feindpositionen hinter Wänden) und zeigt sie Ihnen an (ESP, Radar)
- Schreibt in den Speicher – ändert das Spielverhalten (Zielhilfe, Rückstoßentfernung, Geschwindigkeitsänderungen)
Der Unterschied zwischen den Cheat-Typen liegt darin wie sie auf diesen Speicher zugreifen und mit welcher Berechtigungsstufe sie arbeiten.
Interne Cheats – Prozessinjektion
Wie sie funktionieren
Ein interner Cheat injiziert seinen Code (DLL) direkt in den Prozess des Spiels. Nach der Injektion läuft der Cheat-Code im Spiel, als wäre er ein Teil davon – mit vollem Zugriff auf den gesamten Speicher und alle Funktionen.
Der Injektionsprozess:
- Der Loader findet den Spielprozess im System
- Ordnet Speicher innerhalb dieses Prozesses zu
- Schreibt den Cheat-Code (DLL) in den zugewiesenen Speicher
- Erstellt einen Ausführungsthread – der Cheat-Code beginnt läuft
Vorteile
- Voller Zugriff – der Cheat sieht alle Spieldaten direkt, ohne Zwischenschichten
- Maximale Funktionen – Aimbot, ESP, Chams, Triggerbot, kein Rückstoß und alle Modifikationen
- Hohe Leistung – kein Overhead durch externes Speicherlesen
- In-Game-Rendering – ESP und Menüs werden gezeichnet über DirectX/Vulkan-Hooks, die als Teil des Spiels erscheinen
Risiken
Anti-Cheat scannt den Prozessspeicher des Spiels und kann fremden Code erkennen. Außerdem werden Rendering-Hooks, geänderte Funktionen und verdächtige Ausführungsthreads überprüft. Aus diesem Grund aktualisieren interne Cheat-Entwickler ständig ihre Umgehungsmethoden.
Externe Cheats – von außen funktionieren
Wie sie funktionieren
Ein externer Cheat ist ein separater Prozess, der neben dem Spiel läuft. Es liest den Spielspeicher 'von außen' über System-APIs (z. B. ReadProcessMemory unter Windows) oder über einen benutzerdefinierten Treiber.
Um Informationen anzuzeigen, verwendet es ein Overlay – ein transparentes Fenster oben auf dem Spiel, in dem ESP-Boxen, Linien und andere Elemente gezeichnet werden.
Overlay – Was es ist
Ein Overlay ist ein vollständig transparentes Fenster, das über dem Spielfenster positioniert ist. Der Cheat zeichnet visuelle Informationen darauf: Kästchen um Spieler, Gesundheitsbalken, Entfernung. Für Sie sieht es wie ein Teil des Spiels aus, aber technisch gesehen ist es ein separates Fenster.
Erweiterte Overlays verwenden Bypass-Methoden, sodass Anti-Cheat dieses Fenster nicht erkennen kann.
Vorteile
- Wird nicht in das Spiel eingeschleust – kein fremder Code innerhalb des Spielprozesses
- Einfacher zu aktualisieren – hängt nicht vom internen Rendering des Spiels ab Struktur
- Kann Spielaktualisierungen überstehen – wenn sich die Datenstrukturen nicht geändert haben
Einschränkungen
- Weniger Funktionen – schwieriger zu implementierende Chams, Triggerbot, Rendering-Änderungen
- Overlay kann erkannt werden – Anti-Cheats-Prüfung für Fenster, die über dem Spiel platziert sind
- Externer Speicher lesen – Anti-Cheat überwacht den Zugriff auf die Spielprozessspeicher
Cheats auf Kernelebene – Kernelschicht des Betriebssystems
Wie sie funktionieren
Die Kernelebene ist die privilegierteste Schicht im Betriebssystem. Normale Programme werden im Benutzermodus (Ring 3) ausgeführt, während der Betriebssystemkernel und die Treiber im Kernelmodus (Ring 0) ausgeführt werden.
Ein Cheat auf Kernelebene lädt einen benutzerdefinierten Treiber in den Windows-Kernel. Dieser Treiber verfügt über maximale Berechtigungen:
- Kann jeden Speicher im System lesen und schreiben
- Kann Prozesse und Dateien verbergen
- Kann Systemaufrufe abfangen
- Wird auf der gleichen Ebene wie der Anti-Cheat selbst betrieben
Ring 0 vs. Ring 3
Intel- und AMD-Prozessoren verfügen über ein 'Schutzringe'-System:
- Ring 3 (Benutzermodus) – normale Programme, Spiele, Browser. Beschränkt Zugriff
- Ring 0 (Kernel-Modus) – Betriebssystemkernel, Treiber, Anti-Cheats. Voller Zugriff auf alles
Wenn ein Anti-Cheat in Ring 0 ausgeführt wird (wie Vanguard oder EAC), kann ein normaler externer Ring 3-Cheat leicht erkannt werden. Ein Cheat auf Kernel-Ebene erreicht die gleiche Stufe wie der Anti-Cheat und erhält die gleichen Fähigkeiten.
Treiberlademethoden
- Manuelle Zuordnung – Laden des Treibers in den Kernel-Speicher ohne Systemregistrierung. Hinterlässt keine Spuren in der Treiberliste
- Ausnutzung anfälliger Treiber (BYOVD) – Verwendung eines legitimen, aber anfälligen Treibers eines Drittanbieters, um Zugriff auf den Kernel zu erhalten
- Signierter Treiber – wenn der Entwickler über ein Code-Signing-Zertifikat (EV-Zertifikat) verfügt, wird der Treiber mit Standardmitteln geladen
Warum das wichtig ist
Ein Cheat auf Kernel-Ebene kann:
- Spielspeicher lesen unsichtbar für Benutzermodus-Scanner
- Prozesse und Dateien vor Anti-Cheat verbergen
- Kernel-Integritätsprüfungen umgehen
- Vor dem Start des Anti-Cheat ausführen
DMA – Hardwareebene
DMA (Direct Memory Access) verfolgt einen grundlegend anderen Ansatz. Anstelle eines softwarebasierten Speicherzugriffs liest ein physisches Gerät (PCIe-Karte) den RAM des Gaming-PCs direkt über den PCIe-Bus.
Die Daten werden an einen zweiten Computer übertragen, auf dem die Cheat-Software ausgeführt wird. Auf dem Gaming-PC läuft keine fremde Software – er spielt nur das Spiel. Anti-Cheat kann den Cheat nicht erkennen, weil er auf diesem System einfach nicht vorhanden ist.
Detaillierter Vergleich von DMA- und Software-Cheats in unserem Artikel: DMA vs. Software-Cheats.
Makros – kein Speicherzugriff
Makros zeichnen sich aus. Sie lesen oder modifizieren den Spielspeicher nicht. Stattdessen automatisieren sie Tastatur- und Mausaktionen – zum Beispiel die Kompensation des Waffenrückstoßes durch eine Reihe von Mikromausbewegungen.
Makros funktionieren auf der Ebene der Eingabegeräte (Maus, Tastatur) oder über Software-Emulatoren. Da sie nicht mit dem Spielprozess interagieren, sind sie schwieriger zu erkennen – aber einige Anti-Cheats analysieren Eingabemuster und können unnatürliches Verhalten erkennen.
Wie Cheats Feinde durch Wände 'sehen'
Eine der häufigsten Fragen: Wie zeigt ESP Feinde an, die auf dem Bildschirm nicht sichtbar sind?
Der Spielclient kennt die Positionen aller Spieler innerhalb eines bestimmten Radius – der Server sendet diese Daten für den Ton Berechnungen, Minikarte, Vorladen des Modells. Der Cheat extrahiert einfach diese Koordinaten aus dem Speicher und zeichnet sie auf dem Bildschirm auf – Kisten, Skelette, Entfernung.
Einige Spiele verwenden serverseitige Sichtbarkeitsprüfungen – der Server sendet keine Daten über Spieler hinter Mauern. Dies macht ESP schwieriger, aber nicht unmöglich – die Daten kommen normalerweise etwas früher an, bevor der Spieler sichtbar wird.
Wie Aimbot für Sie 'zielt'
Aimbot kennt die Koordinaten des Feindes (aus dem Spielspeicher) und Ihre Fadenkreuzposition. Es berechnet den zum Drehen der Kamera erforderlichen Winkel und dann:
- Schreibt neue Winkel in den Spielspeicher (interner Aimbot) – sofort, aber riskant
- Emuliert Mausbewegungen (externer Aimbot) – flüssiger, schwerer zu erkennen
- Sendet Eingaben über KmBox (DMA-Aimbot) – über Hardware-Eingabeemulator
Erweitert Aimbots fügen Glättung, FOV-Grenzwerte und Verzögerung hinzu, um Bewegungen menschlich aussehen zu lassen.
Vergleich Tabelle
| Typ | Ebene | Merkmale | Sicherheit | Komplexität |
|---|---|---|---|---|
| Intern | Benutzermodus (Ring 3) | Maximum | Mittel | Mittel |
| Extern | Benutzermodus (Ring 3) | ESP, Radar | Oben Durchschnitt | Niedrig |
| Kernel | Kernel-Modus (Ring 0) | Maximum | Hoch | Hoch |
| DMA | Hardware | ESP, Radar, Zielen (mit KmBox) | Sehr hoch | Sehr hoch |
| Makros | Eingabegeräte | Kein Rückstoß | Hoch | Niedrig |
Was Sie wählen sollten
Ihre Wahl hängt davon ab Prioritäten:
- Maximale Funktionen → Intern oder Kernel-Ebene
- Gleichgewicht von Funktionen und Sicherheit → Kernel-Ebene oder Qualität Extern
- Maximale Sicherheit → DMA
- Nur Rückstoßkontrolle → Makros
Detaillierte Auswahlhilfe: Wie man einen Cheat auswählt. Funktionsbeschreibungen (ESP, Aimbot, Wallhack): Cheat Features Guide.
IVSOFTE Cheat-Katalog – interne, externe, Kernel-Level- und DMA-Cheats für beliebte Spiele. Katalog durchsuchen →