チートがどのように機能するかを理解するには、その敵であるアンチチートを理解する必要があります。最新の保護システムは、複数のレベルで同時に動作する複雑なソフトウェア スイートです。内部からどのように機能するかを見てみましょう。

2 つの動作レベル: ユーザー モードとカーネル モード

すべてのアンチチートは、特権レベルによって分類できます。

ユーザーモードのアンチチート

通常のプログラム (リング 3) と同じレベルで動作します。

  • プロセスのスキャン — 署名 (ファイル ハッシュ、メモリ文字列) によって既知のチートを検索
  • ファイルの整合性をチェック — ゲーム ファイルのチェックサムを基準値と比較
  • メモリ アクセスを監視 — ゲームのメモリを読み取ったプロセスを追跡
  • ウィンドウのチェック — 上に配置されたオーバーレイを検索ゲーム

制限事項: ユーザーモードのアンチチートはカーネル内で何が起こっているかを確認できません。カーネル レベルのチートは、このようなスキャナから完全に隠蔽できます。

カーネル モード アンチチート

OS カーネル レベル (リング 0)、つまりデバイス ドライバーが実行されるのと同じレベルで動作します。これにより、事実上無制限の機能が提供されます。

  • フル メモリ アクセス — チートが隠れるカーネル メモリを含む
  • システム コールの傍受 — すべてのメモリ、ファイル、レジストリ アクセスの追跡
  • ドライバ検査 — 不正または脆弱なドライバの検出
  • ゲーム前モニタリング — Windows での負荷起動
  • 隠しプロセス検出 — たとえチートがそのプロセスを隠していたとしても、カーネルモードのアンチチートはそれを見つけることができます。

カーネルモードのアンチチートには、Vanguard (Valorant)、EAC (Easy Anti-Cheat)、BattlEyeRicochet (Call) が含まれ��す。

コア検出方法

1.署名スキャン

最も古く、最も基本的な方法。アンチチートは、 既知のチートに特有の固有のバイト シーケンスである署名データベースを維持します。スキャ��中、

  • ロードされたモジュールと DLL
  • ゲーム プロセス メモリ
  • ディスク上のファイル
  • カーネル ドライバー

バイパス: チート開発者は更新のたびにコードを難読化します (署名を変更します)。これが、署名データベースに入力されたチートが検出済みステータスになる理由です。その固有の「フィンガープリント」はアンチチートに知られています。

2.メモリ監視

アンチチートは、どのプロセスとドライバーがゲーム メモリにアクセスするかを追跡します。

  • API フックReadProcessMemoryWriteProcessMemory などの関数をインターセプトします。
  • メモリ ページ保護 — 重要なゲーム メモリ領域に特別なフラグを設定します
  • コールバック通知 —新しいプロセスの作成、スレッドの作成、モジュールの読み込みに関する通知を登録する

3.整合性チェック

アンチチートは、ゲーム コードとリソースが変更されていないことを検証します。

  • コード セクションのハッシュ — 参照値と比較された実行可能セクションのチェックサム
  • フック検出 — 変更された関数 (存在すべきではない jmp/call 命令) の検索
  • IAT/EAT チェック — インポート/エクスポートテーブルには置換を含めてはなりません

4.ドライバーの検証

カーネル モードのチート対策制御システム ドライバー:

  • ホワイトリスト/ブラックリスト — ハッシュまたは署名による許可および禁止ドライバー
  • 署名の検証 — Windows では、ドライバーのロード (セキュア ブート + DSE) に署名が必要です。チートは、脆弱な署名付きドライバー (BYOVD) またはマッピングを通じてこれを回避します
  • マップされたドライバーの検出 - 正規のドライバーとして登録されていないカーネル内のコードを検索します

5。行動分析

最新のアンチチートはスキャンに留まらず、プレイヤーの行動を分析します。

  • 統計的異常 - 非人道的なヘッドショットの割合、壁越しの完璧な追跡
  • 入力分析 - マウスの動きのパターン、反応速度、キーストロークの均一性
  • サーバー側のチェック -サーバーはプレイヤーのアクションと「見るべき」もの (敵の視認性、反応時間) を比較します (敵の可視性、反応時間)
  • 機械学習 — 一部のアンチチート (Ricochet) は ML モデルを使用して、 異常な動作を特定する

行動分析により、未検出のチートであっても、あまりにも積極的に使用すると禁止につながる可能性があります。

主要なアンチチート: 詳細

簡単なアンチチート (EAC)

ゲーム: Fortnite、Apex Legends、Rust、EFT Arena、Dead byデイライト、ザ ファイナル、ハント: ショーダウン

レベル: カーネル モード

主な機能:

  • ゲーム起動時にカーネル コンポーネントがロードされる
  • 積極的なカーネル メモリ スキャン
  • シ��ネチャ データベースの頻繁な更新
  • システム テレメトリの収集
  • ゲーム ファイルの整合性検証

EAC は最も広く普及しているアンチチートの 1 つです。その強みは更新頻度にあります。新しいシグネチャが定期的に追加されるため、チート開発者の生活が困難になります。 詳細な EAC ガイド →

BattlEye

ゲーム: Escape from Tarkov、Rainbow Six Siege、PUBG、DayZ、Arma 3、Unturned

レベル: カーネル モード

キー機能:

  • ディープ アクセスを備えたカーネル ドライバー
  • アクティブ ユーザー モードおよびカーネル モード スキャン
  • サーバー側のヒューリスティック - サーバー側の動作分析
  • 脆弱なドライバーのブラックリスト
  • Wave Ban およびインスタント Ban システム

BattlEye は積極的なクライアント側の作業で知られています。 — システムを徹底的に検査し、監視のために多数のコールバックを使用します。 BattlEye の詳細ガイド →

Vanguard

ゲーム: Valorant

レベル: カーネル モード (Windows 起動時にロード)

主な機能:

  • 開始点OS ブート — ゲームの起動時ではなく、コンピューターの電源が入ったとき
  • セキュア ブートと TPM が必要
  • ゲームの起動前に脆弱なドライバーをブロック
  • システムを継続的に監視
  • 検出されたチートを即座に禁止

Vanguard は最も積極的な主流のアンチチートです。ブートの初期ロードにより、競合他社よりもバイパスが大幅に困難になります。 ヴァンガードの詳細ガイド →

リコシェ

ゲーム: Call of Duty (Warzone、MW、BO6)

レベル: カーネルモード + サーバーサイド

キー特徴:

  • カーネル レベルのクライアント側ドライバー
  • ML を使用したサ���バー コンポーネント — 行動分析のための機械学習
  • 即時禁止ではなく「罰」 — ダメージ シールドを有効化し、チーターの可視性を減らすことができます
  • シーズンごとに検出方法を変更します

Ricochet の独自性は、そのサーバー側に焦点を当てていることにあります。クライアント コンポーネントがチートを検出しない場合でも、サーバー分析では動作からチート者を特定できます。 Ricochet の詳細ガイド →

VAC (Valve Anti-Cheat)

ゲーム: CS2、Team Fortress 2、Dota 2

レベル: ユーザーモード

キー特徴:

  • 完全にユーザーモード (リング 3) で実行
  • プロセスとモジュールの署名スキャン
  • ウェーブ禁止 — サイレントにデータを収集し、数週間/数か月後に一括禁止
  • カーネルレベルのコンポーネントなし

VAC は競合他社よりもソフトに見えるが、その「サイレント収集」戦略というのは欺瞞的です。チートは数週間は機能するかもしれませんが、その後禁止の波が押し寄せます。 オーバーウォッチ (プレイヤー リプレイ分析) と VACNet (CS2 の ML システム) によって補足されます。

アンチチートがシステムについて知っていること

カーネルモードのアンチチートは広範な情報を収集します:

  • HWID — ディスク、マザーボード、ネットワーク カード、GPU、RAM 識別子
  • プロセスリスト — 実行中のすべてのプログラム
  • ロードされたドライバー — ハッシュ付きの完全なリスト
  • インストールされたプログラム — レジストリ経由
  • Windows — ウィンドウとそのプロパティのリスト
  • ネットワーク接続 — アクティブな接続

この情報は、分析のためにアンチチートサーバーに送信されます。これがまさに、HWID スプーファーが保護の重要な部分である理由です。

進化: 署名から AI へ

アンチチートはより賢くなっています:

  • 2000 年代 — 純粋な署名スキャン、ユーザーモード
  • 2010 年代 — カーネルモードドライバー、拡張版 テレメトリ
  • 2020 年代 — 機械学習、動作分析、サーバー側チェック、初期ブートローディング

傾向は明らかです: クライアント側のスキャンよりもサーバー側の動作分析の重要性が高まっています。これは、完全にマスクされたチートであっても、疑わしいゲームプレイを通じて捕らえられる可能性があることを意味します。そのため、適切なゲーム内動作がチートの品質と同じくらい重要です。

これがチートの選択に与える影響

  • ���ーザーモードのアンチチート (VAC) → 単純な外部チートでも長期間検出されない可能性があります
  • カーネルモード早期ブートなし (EAC、BattlEye) → カーネル レベルのチートまたは DMA
  • 早期ブートを伴うカーネル モード (Vanguard) → 最も困難な場合、DMA が最も信頼できるオプションです。
  • サーバー側分析 (Ricochet) → 技術的な検出不可能性はありません十分です。正当なゲームプレイが必要です

チートの種類とアンチチートとの相互作用の詳細: チートの仕組み

IVSOFTE カタログ — すべてのアンチチートの現在のステータスを含むチート。 カタログを参照 →