게임 치트 작동 원리 — 인터널, 익스터널, 커널, DMA 설명

게임 치트는 마법이 아닙니다. 다양한 수준에서 게임 프로세스와 상호 작용하는 기술적으로 복잡한 프로그램입니다. 이 문서에서는 기본 메모리 읽기부터 커널 수준 드라이버 및 하드웨어 DMA 솔루션에 이르기까지 치트가 실제로 작동하는 방식을 설명합니다.

기본 사항: 게임이 데이터를 저장하는 방법

모든 온라인 게임은 플레이어 위치, 건강, 무기, 아이템, 지도 상태 등 정보를 RAM에 저장하는 프로그램입니다. 게임 클라이언트는 서버에서 이 데이터를 수신하여 화면에 렌더링합니다.

치트는 기본적으�� 다음 두 가지 중 하나를 수행합니다.

• 메모리 읽기 — 숨겨진 데이터(벽 뒤의 적 위치)를 추출하여 사용자에게 표시합니다(ESP, 레이더)
• 메모리에 쓰기 — 게임 동작 수정(조준 지원, 반동 제거, 속도 변경)

차이점 치트 유형 간의 차이는 이 메모리에 액세스하는 방법과 작동하는 권한 수준에 달려 있습니다.

내부 치트 — 프로세스 주입

작동 방식

내부 치트는 코드(DLL)를 게임 프로세스에 직접 ���입합니다. 주입 후, 치트 코드는 마치 게임의 일부인 것처럼 게임 내에서 실행되며 모든 메모리와 기능에 대한 전체 액세스 권한을 갖습니다.

삽입 프로세스:

1. 로더는 시스템에서 게임 프로세스를 찾습니다.
2. 해당 프로세스 내부에 메모리를 할당합니다.
3. 할당된 메모리에 치트 코드(DLL)를 씁니다.
4. 실행 스레드를 생성합니다 — 치트 코드가 시작됩니다. 실행 중

장점

• 전체 액세스 — 치트는 중간 레이어 없이 모든 게임 데이터를 직접 확인합니다.
• 최대 기능 — aimbot, ESP, chams, Triggerbot, 반동 없음 및 모든 수정
• 고성능 — 외부 메모리 읽기로 인한 오버헤드 없음
• 게임 내 렌더링 — ESP 및 메뉴는 DirectX/Vulkan 후크를 통해 그려지며 게임의 일부로 나타납니다.

위험

치트 방지는 게임의 프로세스 메모리를 검사하고 외부 코드를 감지할 수 있습니다. 또한 렌더링 후크, 수정된 기능 및 의심스러운 실행 스레드를 확인합니다. 이것이 내부 치트 ​​개발자가 회피 방법을 지속적으로 업데이트하는 이유입니다.

외부 치트 — 외부에서 작업

작동 방식

외부 치트는 게임과 함께 실행되는 별도의 프로세스입니다. 시스템 API(예: Windows의 ReadProcessMemory) 또는 사용자 정의 드라이버를 통해 "외부에서" 게임 메모리를 읽습니다.

정보를 표시하기 위해 ESP 상자, 선 및 기타 요소가 그려지는 게임 상단에 배치되는 투명한 창인 오버레이를 사용합니다.

오버레이 — 정의

오버레이는 게임 창 위에 배치된 완전히 투명한 창입니다. 치트는 플레이어 주변의 상자, 체력 바, 거리 등의 시각적 정보를 그립니다. 여러분에게는 게임의 일부처럼 보이지만 기술적으로는 별도의 창입니다.

고급 오버레이는 우회 방법을 사용하므로 치트 방지 장치가 이 창을 감지할 수 없습니다.

장점

• 게임에 삽입하지 않습니다 — 게임 프로세스 내에 외부 코드가 없습니다
• 업데이트가 더 쉽습니다 — 게임의 내부 렌더링 구조
• 게임 업데이트를 견딜 수 있음 — 데이터 구조가 변경되지 않은 경우

제한 사항

• 기능 감소 — chams, Triggerbot, 렌더링 수정 구현이 더 어려움
• 오버레이 감지 가능 — 게임 위에 배치된 창에 대한 치트 방지 검사
• 외부 메모리 읽기 — 치트 방지 장치는 게임 프로세스 메모리에 대한 액세스를 모니터링합니다.

커널 수준 치트 — OS 커널 계층

작동 방식

커널 수준은 운영 체제에서 가장 권한이 높은 계층입니다. 일반 프로그램은 사용자 모드(링 3)에서 실행되는 반면, OS 커널과 드라이버는 커널 모드(링 0)에서 실행됩니다.

커널 수준 치트는 Windows 커널에 사용자 정의 드라이버를 로드합니다. 이 드라이버에는 최대 권한이 있습니다.

• 시스템의 모든 메모리를 읽고 쓸 수 있습니다.
• 프로세스와 파일을 숨길 수 있습니다.
• 시스템 호출을 가로챌 수 있습니다.
• 안티치트 자체와 동일한 수준에서 작동합니다.

링 0 대 링 3

Intel 및 AMD 프로세서에는 "보호 링"이 있습니다. 시스템:

• 링 3(사용자 모드) — 일반 프로그램, 게임, 브라우저. 제한된 액세스
• 링 0(커널 모드) — OS 커널, 드라이버, 치트 방지. 모든 것에 대한 전체 액세스

Ring 0(Vanguard 또는 EAC 등)에서 치트 방지 장치가 실행되면 일반 Ring 3 외부 치트가 쉽게 감지됩니다. 커널 수준 치트가 치트 방지 치트와 동일한 수준으로 승격되어 동일한 기능을 얻습니다.

드라이버 로딩 방법

• 수동 매핑 — 시스템 등록 없이 드라이버를 커널 메모리에 로드합니다. 드라이버 목록에 흔적을 남기지 않습니다.
• 취약한 드라이버 악용(BYOVD) — 합법적이지만 취약한 타사 드라이버를 사용하여 커널 액세스 권한을 얻습니다.
• 서명된 드라이버 — 개발자가 코드 서명 인증서(EV 인증서)를 가지고 있는 경우 드라이버는 표준 수단을 통해 로드됩니다.

중요한 이유

커널 수준 치트 다음을 수행할 수 있습니다.

• 사용자 모드 스캐너에서 게임 메모리를 눈에 보이지 않게 읽습니다.
• 안티치트에�� 프로세스와 파일을 숨깁니다.
• 커널 무결성 검사를 우회합니다.
• 안티치트가 시작되기 전에 실행

DMA — 하드웨어 수준

DMA(직접 메모리 액세스)는 근본적으로 다른 접근 방식을 취합니다. 소프트웨어 기반 메모리 액세스 대신 물리적 장치(PCIe 카드)가 PCIe 버스를 통해 게이밍 PC의 RAM을 직접 읽습니다.

데이터는 치트 소프트웨어가 실행되는 두 번째 컴퓨터로 전송됩니다. 게이밍 PC는 외부 소프트웨어를 실행하지 않고 게임만 실행합니다. 해당 시스템에 치트가 존재하지 않기 때문에 치트 방지 프로그램은 치트를 감지할 수 없습니다.

DMA와 소프트웨어 치트에 대한 자세한 비교는 DMA 대 소프트웨어 치트에서 확인하세요.

매크로 — 메모리 액세스 없음

매크로는 차별화됩니다. 게임 메모리를 읽거나 수정하지 않습니다. 대신, 일련의 마이크로 마우스 움직임으로 무기 반동을 보상하는 등 키보드와 마우스 동작을 자동화합니다.

매크로는 입력 장치 수준(마우스, 키보드)에서 또는 소프트웨어 에뮬레이터를 통해 작동합니다. 게임 프로세스와 상호작용하지 않기 때문에 감지하기가 더 어렵습니다. 하지만 일부 치트 방지 프로그램은 입력 패턴을 분석하고 부자연스러운 행동을 식별할 수 있습니다.

치트가 벽을 통해 적을 "보는" 방법

가장 일반적인 질문 중 하나: ESP가 화면에 보이지 않는 적을 어떻게 표시합니까?

게임 클라이언트는 특정 반경 내의 모든 플레이어의 위치를 알고 — 서버는 건전한 계산을 위해 이 데이터를 보냅니다. 미니맵, 모델 사전 로딩. 치트는 단순히 메모리에서 이러한 좌표를 추출하여 화면에 상자, 뼈대, 거리 등의 좌표를 그립니다.

일부 게임은 서버측 가시성 검사를 사용합니다. 서버는 벽 뒤에 있는 플레이어에 대한 데이터를 보내지 않습니다. 이로 인해 ESP가 더 어려워지지만 불가능하지는 않습니다. 데이터는 일반적으로 플레이어가 보이기 전에 약간 일찍 ��착합니다.

Aimbot이 사용자를 위해 "조준"하는 방법

Aimbot은 게임 메모리를 통해 적의 좌표와 십자선 위치를 알고 있습니다. 카메라를 돌리는 데 필요한 각도를 계산한 후 다음을 수행합니다.

• 새로운 각도를 씁니다 게임 메모리(내부 aimbot) - 즉각적이지만 위험함
• 마우스 움직임을 에뮬레이션(외부 aimbot) - 더 부드럽고 감지하기 어려움
• KmBox를 통해 입력 전송(DMA aimbot) - 하드웨어 입력을 통해 에뮬레이터

고급 aimbot은 부드러움, FOV 제한 및 지연을 추가하여 움직임을 사람처럼 보이게 만듭니다.

비교 테이블

선택 사항

선택은 우선 순위에 따라 다릅니다.

• 최대 기능 → 내부 또는 커널 수준
• 기능과 안전성의 균형 → 커널 수준 또는 품질 외부
• 최대 안전성 → DMA
• 반동 제어 전용 → 매크로

자세한 선택 가이드: 치트 선택 방법. 기능 설명(ESP, Aimbot, Wallhack): 치트 기능 가이드.