एंटी-चीट कैसे काम करते हैं — कर्नेल, यूज़र-मोड, व्यवहार विश्लेषण समझाया गया
एंटी-चीट सिस्टम की तकनीकी व्याख्या: कर्नेल बनाम यूज़र-मोड, Ring 0, ड्राइवर हस्ताक्षर, व्यवहार विश्लेषण, सर्वर-साइड जाँच। व्यापक अवलोकन।
यह समझने के लिए कि धोखेबाज़ कैसे काम करते हैं, आपको उनके प्रतिद्वंद्वी - धोखा-विरोधी को समझने की ज़रूरत है। आधुनिक सुरक्षा प्रणालियाँ जटिल सॉफ़्टवेयर सुइट हैं जो एक साथ कई स्तरों पर काम करती हैं। आइए देखें कि वे अंदर से कैसे काम करते हैं।
दो ऑपरेटिंग स्तर: उपयोगकर्ता-मोड और कर्नेल-मोड
सभी एंटी-चीट्स को उनके विशेषाधिकार स्तर के आधार पर वर्गीकृत किया जा सकता है।
उ��योगकर्ता-मोड एंटी-चीट्स
नियमित कार्यक्रमों (रिंग 3) के समान स्तर पर काम करते हैं। वे यह कर सकते हैं:
- प्रक्रियाओं को स्कैन करें - हस्ताक्षरों (फ़ाइल हैश, मेमोरी स्ट्रिंग्स) द्वारा ज्ञात चीट्स की खोज करें
- फ़ाइल अखंडता की जाँच करें - संदर्भ मानों के विरुद्ध गेम फ़ाइल चेकसम की तुलना करें
- मेमोरी एक्सेस की निगरानी करें - ट्रैक करें कि कौन सी प्रक्रियाएँ गेम की मेमोरी को पढ़ती हैं
- विंडोज़ की जाँच करें - ऊपर रखे गए ओवरले की खोज करें गेम
सीमा: उपयोगकर्ता-मोड एंटी-चीट यह नहीं देख सकता कि कर्नेल में क्या होता है। एक कर्नेल-स्तरीय धोखा ऐसे स्कैनर से पूरी तरह से छिप सकता है।
कर्नेल-मोड एंटी-चीट्स
ओएस कर्नेल स्तर (रिंग 0) पर काम करें - वही स्तर जहां डिवाइस ड्राइवर चलते हैं। यह उन्हें वस्तुतः असीमित क्षमताएं प्रदान करता है:
- पूर्ण मेमोरी एक्सेस - कर्नेल मेमोरी सहित जहां धोखेबाज छिप सकते हैं
- सिस्टम कॉल इंटरसेप्शन - सभी मेमोरी, फ़ाइल और रजिस्ट्री एक्सेस को ट्रैक करना
- ड्राइवर निर��क्षण - अनधिकृत या कमजोर ड्राइवरों को ढूंढना
- प्री-गेम मॉनिटरिंग - विंडोज स्टार्टअप पर कुछ लोड
- छिपी प्रक्रिया का पता लगाना - भले ही एक धोखा अपनी प्रक्रिया को छुपाता है, एक कर्नेल-मोड एंटी-चीट इसे ढूंढ सकता है
कर्नेल-मोड एंटी-चीट में शामिल हैं: वेंगार्ड (वैलोरेंट), ईएसी (ईज़ी एंटी-चीट), बैटलआई, रिकोशे (कॉल ऑफ़ ड्यूटी)।
कोर डिटेक्शन तरीके
1. हस्ताक्षर स्कैनिंग
सबसे पुराना, सबसे बुनियादी तरीका। एंटी-च���ट एक हस्ताक्षर डेटाबेस बनाए रखता है - ज्ञात धोखेबाज़ों की विशेषता वाला अद्वितीय बाइट अनुक्रम। स्कैनिंग के दौरान, यह इसमें मिलान खोजता है:
- लोड किए गए मॉड्यूल और DLL
- गेम प्रोसेस मेमोरी
- डिस्क पर फ़ाइलें
- कर्नेल ड्राइवर
बायपास: हर अपडेट के साथ डेवलपर्स को धोखा दें कोड को अस्पष्ट करें (हस्ताक्षर बदलें)। यही कारण है कि हस्ताक्षर डेटाबेस में प्रवेश करने वाले धोखेबाज़ों को पता लगाया गया दर्जा मिलता है - उनके अद्वितीय "फ़िंगरप्रिंट" के बारे में धोखाधड़ी विरोधी को पता चल जाता है।
2. मेमोरी मॉनिटरिंग
एंटी-चीट ट्रैक जो प्रोसेस करते हैं और ड्राइवर गेम मेमोरी तक पहुंचते हैं:
- एपीआई हुक - इंटरसेप्टिंग फ़ंक्शन जैसे
ReadProcessMemory,WriteProcessMemory - मेमोरी पेज सुरक्षा - महत्वपूर्ण गेम मेमोरी क्षेत्रों पर विशेष झंडे सेट करना
- कॉलबैक नोटिफिकेशन - नई प्रक्रिया के लिए नोटिफिकेशन दर्ज करना निर्माण, थ्रेड निर्माण, मॉड्यूल लोडिंग
3. इंटीग्रिटी चेक
एंटी-चीट सत्यापित करता है कि गेम कोड और संसाधनों को संशोधित नहीं किया गया है:
- कोड अनुभाग हैश - संदर्भ मानों की तुलना में निष्पादन योग्य अनुभाग चेकसम
- हुक डिटेक्शन - संशोधित फ़ंक्शन की खोज (jmp/कॉल निर्देश जो वहां नहीं होने चाहिए)
- IAT/EAT चेक - आयात/निर्यात तालिकाएं नहीं होनी चाहिए प्रतिस्थापन शामिल
4. ड्राइवर सत्यापन
कर्नेल-मोड एंटी-चीट्स नियंत्रण सिस्टम ड्राइवर:
- श्वेतसूची/ब्लैकलिस्ट - हैश या हस्ताक्षर द्वारा ड्राइवरों को अनुमति दी गई है और प्रतिबंधित किया गया है
- हस्ताक्षर सत्यापन - विंडोज़ को ड्राइवर लोडिंग (सिक्योर बूट + डीएसई) के लिए हस्ताक्षर की आवश्यकता है। धोखेबाज़ इसे असुरक्षित हस्ताक्षरित ड्राइवर (बीवाईओवीडी) या मैपिंग के माध्यम से बायपास करते हैं
- मैप किए गए ड्राइवर का पता लगाना - कर्नेल में उस कोड की खोज करना जो वैध ड्राइवर के रूप में पंजीकृत नहीं है
5। व्यवहार विश्लेषण
आधुनिक एंटी-चीट स्कैनिंग से आगे जाते हैं - वे खिलाड़ी के व्यवहार का विश्लेषण करते हैं:
- सांख्यिकीय विसंगतियाँ - अमानवीय हेडशॉट प्रतिशत, दीवारों के माध्यम से सही ट्रैकिंग
- इनपुट विश्लेषण - माउस मूवमेंट पैटर्न, प्रतिक्रिया गति, कीस्ट्रोक एकरूपता
- सर्वर-साइड चेक - सर्वर खिलाड़ी के कार्यों की तुलना किसके साथ करता है उन्हें "देखना चाहिए" (दुश्मन की दृश्यता, प्रतिक्रिया समय)
- मशीन लर्निंग - कुछ एंटी-चीट्स (रिकोशे) एमएल मॉडल का उपयोग करते हैं असामान्य व्यवहार की पहचान करें
व्यवहार विश्लेषण के कारण अनदेखी धोखाधड़ी पर भी प्रतिबंध लगाया जा सकता है यदि बहुत आक्रामक तरीके से उपयोग किया जाए।
प्रमुख एंटी-चीट: विवरण
ईज़ी एंटी-चीट (ईएसी)
गेम्स: फोर्टनाइट, एपेक्स लीजेंड्स, रस्ट, ईएफटी एरेना, डेड बाय डेलाइट, द फ़ाइनल, हंट: शोडाउन
स्तर: कर्नेल-मोड
मुख्य विशेषताएं:
- गेम लॉन्च के साथ कर्नेल घटक लोड होता है
- आक्रामक कर्नेल मेमोरी स्कैनिंग
- लगातार हस्ताक्षर डेटाबेस अपडेट
- सिस्टम टेलीमेट्री संग्रह
- गेम फ़ाइल अखंडता सत्यापन
EAC सबसे अधिक में से एक है व्यापक ���िरोधी धोखाधड़ी। इसकी ताकत अद्यतन आवृत्ति में निहित है: नए हस्ताक्षर नियमित रूप से जोड़े जाते हैं, जिससे धोखेबाज़ डेवलपर्स के लिए जीवन कठिन हो जाता है। विस्तृत EAC गाइड →
BatlEye
गेम्स: टारकोव से बच, रेनबो सिक्स सीज, PUBG, DayZ, Arma 3, अनटर्नड
स्तर: कर्नेल-मोड
कुंजी विशेषताएं:
- डीप एक्सेस के साथ कर्नेल ड्राइवर
- सक्रिय उपयोगकर्ता-मोड और कर्नेल-मोड स्कैनिंग
- सर्वर-साइड अनुमान - सर्वर साइड पर व्यवहार विश्लेषण
- कमजोर ड्राइवर ब्लैकलिस्ट
- वेव प्रतिबंध और तत्काल प्रतिबंध सिस्टम
BatlEye आक्रामक क्लाइंट-साइड कार्य के लिए जाना जाता है - यह सिस्टम का गहराई से निरीक्षण करता है और निगरानी के लिए अनेक कॉलबैक का उपयोग करता है। विस्तृत बैटलआई गाइड →
वेंगार्ड
गेम्स: वैलोरेंट
लेवल: कर्नेल-मोड (विंडोज स्टार्टअप पर लोड होता है)
मुख्य विशेषताएं:
- ओएस पर शुरू होता है बूट - गेम लॉन्च होने पर नहीं, बल्कि जब कंप्यूटर चालू होता है
- सुरक्षित बूट और टीपीएम की आवश्यकता होती है
- गेम लॉन्च होने से पहले कमजोर ड्राइवरों को ब्लॉक करता है
- लगातार सिस्टम की निगरानी करता है
- धोखाधड़ी का पता चलने पर तत्काल प्रतिबंध
वेनगार्ड सबसे आक्रामक मुख्यधारा एंटी-चीट है। इसकी प्रारंभिक बूट लोडिंग प्रतिस्पर्धियों की तुलना में बायपास करना काफी कठिन बना देती है। विस्तृत वैनगार्ड गाइड →
रिकोशे
गेम्स: कॉल ऑफ़ ड्यूटी (वॉरज़ोन, MW, BO6)
स्तर: कर्नेल-मोड + सर्वर-साइड
कुंजी विशेषताएं:
- कर्नेल-स्तरीय क्लाइंट-साइड ड्राइवर
- एमएल के साथ सर्वर घटक - व्यवहार विश्लेषण के लिए मशीन लर्निंग
- तत्काल प्रतिबंधों के बजाय "दंड" - डैमेज शील्ड को सक्रिय कर सकता है, धोखेबाज़ की दृश्यता को कम कर सकता है
- हर सीज़न में पता लगाने के तरीकों को बदलता है
रिकोशे की विशिष्टता इसके सर्वर-साइड फोकस में निहित है। भले ही क्लाइंट घटक धोखेबाज का पता नहीं लगाता है, सर्वर विश्लेषण व्यवहार से धोखेबाज की पहचान कर सकता है। विस्तृत रिकोचेट गाइड →
VAC (वाल्व एंटी-चीट)
गेम्स: CS2, टीम फोर्ट्रेस 2, Dota 2
स्तर: उपयोगकर्ता-मोड
कुंजी विशेषताएं:
- पूरी तरह से उपयोगकर्ता-मोड में चलता है (रिंग 3)
- प्रक्रियाओं और मॉड्यूल की हस्ताक्षर स्कैनिंग
- वेव प्रतिबंध - चुपचाप डेटा एकत्र करता है, हफ्तों/महीनों बाद सामूहिक रूप से प्रतिबंध लगाता है
- कोई कर्नेल-स्तरीय घटक नहीं
VAC प्रतिस्पर्धियों की तुलना में नरम लगता है, लेकिन इसकी "मूक संग्रह" रणनीति भ्रामक है: एक धोखा ���ाम कर सकता है सप्ताह, फिर प्रतिबंध की लहर आती है। ओवरवॉच (प्लेयर रीप्ले विश्लेषण) और VACNet (CS2 के लिए एमएल सिस्टम) द्वारा पूरक।
एंटी-चीट्स आपके सिस्टम के बारे में क्या जानते हैं
कर्नेल-मोड एंटी-चीट्स व्यापक जानकारी एकत्र करते हैं:
- HWID - डिस्क, मदरबोर्ड, नेटवर्क कार्ड, GPU, RAM पहचानकर्ता
- प्रक्रिया सूची - सभी चल रहे हैं प्रोग्राम
- लोड किए गए ड्राइवर - हैश के साथ पूरी सूची
- इंस्टॉल किए गए प्रोग्राम - रजिस्ट्री के माध्यम से
- विंडोज़ - विंडोज़ और उनकी संपत्तियों की सूची
- नेटवर्क कनेक्शन - सक्रिय कनेक्शन
यह जानकारी विश्लेषण के लिए एंटी-चीट सर्वर को भेजी जाती है। यही कारण है कि एक HWID स्पूफर सुरक्षा का एक महत्वपूर्ण हिस्सा है।
विकास: हस्ताक्षर से लेकर AI तक
एंटी-चीट अधिक स्मार्ट हो रहे हैं:
- 2000 - शुद्ध हस्ताक्षर स्कैनिंग, उपयोगकर्ता-मोड
- 2010 — कर्नेल-मोड ड्राइवर, विस्तारित टेलीमेट्री
- 2020 - मशीन लर्निंग, व्यवहार विश्लेषण, सर्वर-साइड जांच, प्रारंभिक बूट लोडिंग
प्रवृत्ति स्पष्ट है: सर्वर-साइड व्यवहार विश्लेषण क्लाइंट-साइड स्कैनिंग से अधिक महत्वपूर्ण होता जा रहा है। इसका मतलब यह है कि पूरी तरह से नकाबपोश धोखेबाज़ को भी संदिग्ध गेमप्ले के माध्यम से पकड़ा जा सकता है। इसीलिए गेम में उचित व्यवहार उतना ही महत्वपूर्ण है जितना कि धोखेबाज की गुणवत्ता।
यह धोखा चयन को कैसे प्रभावित करता है
- उपयोगकर्ता-मोड एंटी-चीट (VAC) → यहां तक कि एक साधारण बाहरी धोखा भी लंबे समय तक अज्ञात रह सकता है समय
- प्रारंभिक बूट के बिना कर्नेल-मोड (ईएसी, बैटलआई) → कर्नेल-स्तरीय धोखा या डीएमए
- प्रारंभिक बूट के साथ कर्नेल-मोड (वेनगार्ड) की आवश्यकता होती है → सबसे कठिन मामला, डीएमए सबसे विश्वसनीय विकल्प है
- सर्वर-साइड विश्लेषण (रिकोशे)→ तकनीकी ज्ञान पर्याप्त नहीं है; वैध गेमप्ले आवश्यक है
चीट के प्रकारों और एंटी-चीट के साथ उनकी बातचीत के बारे में अधिक जानकारी: धोखा कैसे काम करता है।
IVSOFTE कैटलॉग - प्रत्येक एंटी-चीट के लिए वर्तमान स्थिति के साथ धोखा। कैटलॉग ब्राउज़ करें →