치트가 어떻게 작동하는지 이해하려면 치트의 적인 치트 방지를 이해해야 합니다. 최신 보호 시스템은 여러 수준에서 동시에 작동하는 복잡한 소프트웨어 제품군입니다. 내부에서 어떻게 작동하는지 분석해 보겠습니다.

두 가지 작동 수준: 사용자 모드와 커널 모드

모든 치트 방지 프로그램은 권한 수준에 따라 분류될 수 있습니다.

사용자 모드 치트 방지

일반 프로그램(링 3)과 동일한 수준에서 작동합니다. 다음을 수행할 수 있습니다.

  • 프로세스 검색 — 서명(파일 해시, 메모리 문자열)으로 알려진 치트 검색
  • 파일 무결성 확인 — 게임 파일 체크섬을 참조 값과 비교
  • 메모리 액세스 모니터링 — 게임 메모리를 읽는 프로세스 추적
  • 창 확인 — 파일 위에 배치된 오버레이 검색 게임

제한: 사용자 모드 치트 방지 프로그램은 커널에서 무슨 일이 일어나는�� 볼 수 없습니다. 커널 수준 치트는 이러한 스캐너에서 완전히 숨길 수 있습니다.

커널 모드 치트 방지

OS 커널 수준(링 0)에서 작동합니다. 이는 장치 드라이버가 실행되는 것과 동일한 수준입니다. 이는 사실상 무제한의 기능을 제공합니다.

  • 전체 메모리 액세스 — 치트가 숨을 수 있는 커널 메모리 포함
  • 시스템 호출 차단 — 모든 메모리, 파일 및 레지스트리 액세스 추적
  • 드라이버 검사 — 인증되지 않거나 취약한 드라이버 찾기
  • 게임 전 모니터링 — Windows 시작 시 일부 로드
  • 숨겨진 프로세스 감지 — 치트가 프로세스를 숨기더라도 커널 모드 치트 방지 기능으로 이를 찾을 수 있습니다.

커널 모드 치트 방지 기능에는 Vanguard(Valorant), EAC(Easy Anti-Cheat), BattlEye, Ricochet(Call of Duty)가 포함됩니다.

핵심 감지 방법

1. 서명 스캔

가장 오래되고 기본적인 방법입니다. 치트 방지 프로그램은 알려진 치트의 고유한 바이트 시퀀스인 서명 데이터베이스를 유지합니다. 검사하는 동안 다음에서 일치하는 항목을 검색합니다:

  • 로드된 모듈 및 DLL
  • 게임 프로세스 메모리
  • 디스크의 파일
  • 커널 드라이버

우회: 치트 개발자는 업데이트할 때마다 코드를 난독화(서명 변경)합니다. 이것이 서명 데이터베이스에 들어간 치트가 감지 상태가 되는 이유입니다. 치트 방지 장치는 치트의 고유한 "지문"을 알고 있습니다.

2. 메모리 모니터링

안티치트는 어떤 프로세스와 드라이버가 게임 메모리에 액세스하는지 추적합니다.

  • API 후크ReadProcessMemory, WriteProcessMemory
  • 메모리 페이지 보호 — 중요한 게임 메모리 영역에 특수 플래그 설정
  • 콜백 알림 — 새로운 프로세스 생성, 스레드 생성, 모듈 로딩에 대한 알림 등록

3. 무결성 검사

안티치트는 게임 코드와 리소스가 수정되지 않았는지 확인합니다.

  • 코드 ��션 해시 — 참조 값과 비교한 실행 가능한 섹션 체크섬
  • 후크 감지 — 수정된 기능 검색(존재해서는 안 되는 jmp/호출 명령)
  • IAT/EAT 검사 — 가져오기/내보내기 테이블에는 대체 항목이 포함되어서는 안 됩니다.

4. 드라이버 확인

커널 모드 치트 방지 제어 시스템 드라이버:

  • 화이트리스트/블랙리스트 — 해시 또는 서명으로 허용 및 금지된 드라이버
  • 서명 확인 — Windows에서는 드라이버 로딩(보안 부팅 + DSE)에 서명이 필요합니다. 치트는 취약한 서명 드라이버(BYOVD) 또는 매핑을 통해 이를 우회합니다.
  • 매핑된 드라이버 감지 - 커널에서 합법적인 드라이버로 등록되지 않은 코드를 검색합니다.

5. 행동 분석

현대 치트 방지 기능은 스캔 이상의 기능을 제공합니다. 플레이어 행동을 분석합니다.

  • 통계 이상 — 비인간적인 헤드샷 비율, 벽을 통과하는 완벽한 추적
  • 입력 분석 — 마우스 움직임 패턴, 반응 속도, 키 입력 균일성
  • 서버 측 확인 — 서버가 플레이어 행동을 비교합니다. "보아야 할 것"(적 가시성, 반응 시간)
  • 기계 학습 — 일부 치트 방지 프로그램(Ricochet)은 ML 모델을 사용하여 비정형 행동 식별

행동 분석을 통해 발견되지 않은 치트라도 너무 공격적으로 사용하면 금지 조치를 받을 수 있습니다.

주요 안티 치트: 세부 정보

Easy Anti-Cheat(EAC)

게임: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The 결승전, 헌트: 결전

레벨: 커널 모드

주요 기능:

  • 게임 시작과 함께 커널 구성 요소 로드
  • 공격적인 커널 메모리 검색
  • 잦은 서명 데이터베이스 업데이트
  • 시스템 원격 측정 수집
  • 게임 파일 무결성 확인

EAC는 다음 중 하나입니다. 가장 널리 퍼진 안티 치트. 그 강점은 업데이트 빈도에 있습니다. 새로운 서명이 정기적으로 추가되므로 치트 개발자의 삶이 더 어려워집니다. 자세한 EAC 가이드 →

BattlEye

게임: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

레벨: 커널 모드

키 기능:

  • 심층 액세스가 가능한 커널 드라이버
  • 활성 사용자 모드 및 커널 모드 검색
  • 서버 측 경험적 접근 — 서버 측 동작 분석
  • 취약한 드라이버 블랙리스트
  • Wave 차단 및 즉시 차단 시스템

BattlEye는 공격적인 클라이언트 측 작업으로 유명합니다. 시스템을 검사하고 모니터링을 위해 수많은 콜백을 사용합니다. 자세한 BattlEye 가이드 →

Vanguard

게임: Valorant

레벨: 커널 모드(Windows 시작 시 로드)

주요 기능:

  • OS에서 시작 부팅 — 게임이 시작될 때가 아니라 컴퓨터가 켜질 때
  • 보안 부팅 및 TPM 필요
  • 게임 시작 전에 취약한 드라이버 차단
  • 시스템을 지속적으로 모니터링
  • 감지된 치트에 대한 즉각적인 금지

Vanguard는 가장 공격적인 주류 안티 치트입니다. 초기 부팅 로딩으로 인해 경쟁사보다 우회가 훨씬 더 어려워졌습니다. 자세한 Vanguard 가이드 →

Ricochet

게임: Call of Duty(Warzone, MW, BO6)

레벨: 커널 모드 + 서버 측

키 기능:

  • 커널 수준 클라이언트 측 드라이버
  • ML이 포함된 서버 구성 요소 - 행동 분석을 위한 기계 학습
  • 즉시 금지 대신 "처벌" - Damage Shield를 활성화하고 부정 행위자 가시성을 줄일 수 있습니다.
  • 매 시즌 감지 방법을 변경합니다.

Ricochet의 독창성은 서버 측에 초점을 맞춥니다에 있습니다. 클라이언트 구성 요소가 치트를 감지하지 못하더라도 서버 분석을 통해 행동을 통해 치터를 식별할 수 있습니다. 자세한 Ricochet 가이드 →

VAC(Valve Anti-Cheat)

게임: CS2, Team Fortress 2, Dota 2

레벨: 사용자 모드

키 기능:

  • 완전히 사용자 모드(링 3)에서 실행
  • 프로세스 및 모듈의 서명 검사
  • Wave 금지 — 자동으로 데이터를 수집하고 몇 주/개월 후 일괄적으로 금지
  • 커널 수준 구성 요소 없음

VAC는 경쟁사보다 부드러워 보이지만 "자동 수집" 전략은 기만적입니다. 치트가 작동할 수 있습니다. 몇 주 동안 금지 파동이 닥쳤습니다. Overwatch(플레이어 재생 분석) 및 VACNet(CS2용 ML 시스템)으로 보완됩니다.

안티치트가 시스템에 대해 알고 있는 정보

커널 모드 치트 방지는 다음과 같은 광범위한 정보를 수집합니다.

  • HWID — 디스크, 마더보드, 네트워크 카드, GPU, RAM 식별자
  • 프로세스 목록 — 모두 실행 중인 프로그램
  • 로드된 드라이버 — 해시가 포함된 전체 목록
  • 설치된 프로그램 — 레지스트리를 통해
  • Windows — 창 및 해당 속성 목록
  • 네트워크 연결 — 활성 연결

이 정보는 분석을 위해 치트 방지 서버로 전송됩니다. 이것이 바로 HWID 스푸퍼가 보호의 중요한 부분인 이유입니다.

진화: 서명에서 AI로

치트 방지 장치가 더욱 똑똑해지고 있습니다.

  • 2000년대 — 순수 서명 스캔, 사용자 모드
  • 2010년대 — 커널 모드 드라이버, 확장 원격 측정
  • 2020년대 — 기계 학습, 행동 분석, 서버측 검사, 조기 부팅 로딩

추세는 분명합니다. 서버측 행동 분석이 클라이언트측 검색보다 더 중요해지고 있습니다. 이는 완벽하게 위장된 치트라도 의심스러운 게임플레이를 통해 적발될 수 있음을 의미합니다. 그렇기 때문에 적절한 게임 내 동작이 치트의 품질만큼 중요합니다.

치트 선택에 미치는 영향

  • 사용자 모드 치트 방지(VAC) → 간단한 외부 치트라도 오랫동안 감지되��� 않은 상태로 유지될 수 있습니다.
  • 초기 부팅이 없는 커널 모드 (EAC, BattlEye) → 커널 수준 치트 또는 DMA
  • 초기 부팅이 포함된 커널 모드(Vanguard) 필요 → 가장 어려운 경우, DMA가 가장 신뢰할 수 있는 옵션
  • 서버측 분석(Ricochet) → 기술적 탐지 불가능성만으로는 충분하지 않습니다. 합법적인 게임플레이가 필요합니다.

치트 유형 및 치트 방지 장치와의 상호 작용에 대한 자세한 내용: 치트 작동 방식.

IVSOFTE 카탈로그 — 모든 치트 방지 장치에 대한 현재 상태가 포함된 치트. 카탈로그 찾아보기 →