Aby zrozumieć, jak działają oszustwa, musisz poznać ich przeciwnika — anty-oszustwo. Nowoczesne systemy zabezpieczeń to złożone pakiety oprogramowania działające na wielu poziomach jednocześnie. Przyjrzyjmy się, jak działają od środka.

Dwa poziomy operacyjne: tryb użytkownika i tryb jądra

Wszystkie zabezpieczenia przed oszustwami można kategoryzować według poziomu uprawnień.

Antykaciały w trybie użytkownika

Działają na tym samym poziomie, co zwykłe programy (Pierścień 3). Mogą:

  • Skanować procesy — wyszukiwać znane kody po sygnaturach (hasze plików, ciągi pamięci)
  • Sprawdzać integralność plików — porównywać sumy kontrolne plików gry z wartościami referencyjnymi
  • Monitorować dostęp do pamięci — śledzić, które procesy odczytują pamięć gry
  • Sprawdzać okna — szukać nakładek umieszczonych nad gra

Ograniczenie: moduł zapobiegający oszustwom w trybie użytkownika nie widzi, co dzieje się w jądrze. Oszustwo na poziomie jądra może całkowicie ukryć się przed takim skanerem.

Anty-Cheats w trybie jądra

Działają na poziomie jądra systemu operacyjnego (Pierścień 0) — na tym samym poziomie, na którym działają sterowniki urządzeń. Daje im to praktycznie nieograniczone możliwości:

  • Pełny dostęp do pamięci — łącznie z pamięcią jądra, w której mogą się ukryć kody
  • Przechwytywanie wywołań systemowych — śledzenie dostępu do całej pamięci, plików i rejestru
  • Kontrola sterowników — znajdowanie nieautoryzowanych lub podatnych na ataki sterowników
  • Monitorowanie przed grą — pewne obciążenie podczas uruchamiania systemu Windows
  • Wykrywanie ukrytych procesów — nawet jeśli kod ukrywa swoje proces, antycheat w trybie jądra może go wykryć.

Antycheaty w trybie jądra obejmują: Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty).

Wykrywanie rdzeni Metody

1. Skanowanie podpisów

Najstarsza i najbardziej podstawowa metoda. Anti-Cheat utrzymuje bazę sygnatur — unikalne sekwencje bajtów charakterystyczne dla znanych cheatów. Podczas skanowania wyszukuje dopasowania w:

  • Załadowanych modułach i bibliotekach DLL
  • Pamięci procesu gry
  • Plikach na dysku
  • Sterownikach jądra

Obejście: oszukiwanie programistów zaciemnianie kodu (zmiana sygnatur) przy każdej aktualizacji. Właśnie dlatego oszuści wpisani do bazy sygnatur otrzymują status Wykryci — ich unikalny „odcisk palca” jest znany mechanizmowi zapobiegającemu oszustwom.

2. Monitorowanie pamięci

Ślady zapobiegania oszustwom, które procesy i sterowniki uzyskują dostęp do pamięci gry:

  • haki API — przechwytywanie funkcji takich jak ReadProcessMemory, WriteProcessMemory
  • Ochrona strony pamięci — ustawianie specjalnych flag w krytycznych obszarach pamięci gry
  • Powiadomienia o wywołaniach zwrotnych — rejestrowanie powiadomień do tworzenia nowych procesów, tworzenia wątków, ładowania modułów

3. Kontrole integralności

Anti-cheat weryfikuje, czy kod gry i zasoby nie zostały zmodyfikowane:

  • Shasze sekcji kodu — sumy kontrolne sekcji wykonywalnych porównywane z wartościami referencyjnymi
  • Wykrywanie hooków — wyszukiwanie zmodyfikowanych funkcji (instrukcje jmp/call, których nie powinno tam być)
  • Sprawdzanie IAT/EAT — tabele importu/eksportu nie mogą zawierać podstawienia

4. Weryfikacja sterowników

Sterowniki systemu kontroli przed oszustwami w trybie jądra:

  • Biała/czarna lista — sterowniki dozwolone i zabronione według skrótu lub podpisu
  • Weryfikacja podpisu — system Windows wymaga podpisów do ładowania sterowników (Secure Boot + DSE). Kody omijają to poprzez podatne na ataki podpisane sterowniki (BYOVD) lub mapowanie
  • Wykrywanie zmapowanych sterowników — wyszukiwanie kodu w jądrze, który nie jest zarejestrowany jako legalny sterownik

5. Analiza behawioralna

Współczesne zabezpieczenia przed oszustwami wykraczają poza skanowanie — analizują zachowanie graczy:

  • Anomalie statystyczne — nieludzkie wartości procentowe strzałów w głowę, doskonałe śledzenie przez ściany
  • Analiza danych wejściowych — wzorce ruchu myszy, szybkość reakcji, jednolitość naciśnięć klawiszy
  • Kontrole po stronie serwera — serwer porównuje działania gracza z tym, co robią „powinno zobaczyć” (widoczność wroga, czas reakcji)
  • Uczenie maszynowe — niektóre zabezpieczenia przed oszustwami (Ricochet) wykorzystują modele ML do zidentyfikuj nietypowe zachowanie

Analiza behawioralna pokazuje, dlaczego nawet niewykryty kod może skutkować banem, jeśli zostanie użyty zbyt agresywnie.

Główne zabezpieczenia przed oszustwami: szczegóły

Łatwe zabezpieczenie przed oszustwami (EAC)

Gry: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finały, Polowanie: Showdown

Poziom: Tryb jądra

Kluczowe funkcje:

  • Ładowanie komponentów jądra wraz z uruchomieniem gry
  • Agresywne skanowanie pamięci jądra
  • Częste aktualizacje baz danych sygnatur
  • Zbieranie danych telemetrycznych systemu
  • Weryfikacja integralności plików gry

EAC jest jedną z najbardziej rozpowszechnionych anty-cheats. Jego siła leży w częstotliwości aktualizacji: regularnie dodawane są nowe sygnatury, co utrudnia życie twórcom oszustw. Szczegółowy przewodnik po EAC →

BattlEye

Gry: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Poziom: tryb jądra

Klucz funkcje:

  • Sterownik jądra z głębokim dostępem
  • Aktywne skanowanie w trybie użytkownika i trybie jądra
  • Hurystyka po stronie serwera — analiza behawioralna po stronie serwera
  • Czarna lista sterowników podatnych na ataki
  • Systemy blokowania Wave i natychmiastowego blokowania

BattlEye jest znane z agresywnej pracy po stronie klienta — głęboko sprawdza system i wykorzystuje liczne wywołania zwrotne do monitorowania. poniżej boot — nie podczas uruchamiania gry, ale po włączeniu komputera

  • Wymaga bezpiecznego rozruchu i modułu TPM
  • Blokuje podatne sterowniki przed uruchomieniem gry
  • Ciągle monitoruje system
  • Natychmiastowe bany za wykryte kody

    • Vanguard to najbardziej agresywny mainstreamowy moduł antycheatowy. Wczesne ładowanie systemu sprawia, że ​​obejście jest znacznie trudniejsze niż u konkurencji. Szczegółowy przewodnik Vanguard →

    Ricochet

    Gry: Call of Duty (Warzone, MW, BO6)

    Poziom: tryb jądra + po stronie serwera

    Kluczowe funkcje:

    • Poziom jądra sterownik po stronie klienta
    • Komponent serwera z ML — uczenie maszynowe do analizy behawioralnej
    • „Kara” zamiast natychmiastowych banów — może aktywować Osłonę przed uszkodzeniami, zmniejszyć widoczność oszustów
    • Zmienia metody wykrywania co sezon

    Wyjątkowość Ricocheta polega na jego koncentrowaniu się na serwerze. Nawet jeśli komponent klienta nie wykryje oszustwa, analiza serwera może zidentyfikować oszusta na podstawie zachowania. Szczegółowy przewodnik po rykoszecie →

    VAC (Valve Anti-Cheat)

    Gry: CS2, Team Fortress 2, Dota 2

    Poziom: Tryb użytkownika

    Najważniejsze funkcje:

    • Działa całkowicie w trybie użytkownika (Pierścień 3)
    • Skanowanie sygnatur procesów i modułów
    • Wave banów — zbiera dane po cichu, banuje masowo tygodnie/miesiące później
    • Żaden komponent na poziomie jądra

    VAC wydaje się łagodniejszy od konkurencji, ale jego strategia „cichego zbierania” jest zwodnicza: oszustwo może działać tygodniami, a potem nadchodzi fala banów. Uzupełnione przez Overwatch (analiza powtórek graczy) i VACNet (system ML dla CS2).

    Co zabezpieczenia przed oszustwami wiedzą o Twoim systemie

    Anty-oszustwa w trybie jądra zbierają obszerne informacje:

    • HWID — dysk, płyta główna, karta sieciowa, procesor graficzny, identyfikatory pamięci RAM
    • Lista procesów — wszystkie uruchomione programy
    • Załadowane sterowniki — pełna lista ze skrótami
    • Zainstalowane programy — przez rejestr
    • Windows — lista okien i ich właściwości
    • Połączenia sieciowe — aktywne połączenia

    Te informacje są wysyłane do serwerów antycheatowych w celu analizy. Właśnie dlatego spoofer HWID jest kluczową częścią ochrony.

    Ewolucja: od sygnatur do sztucznej inteligencji

    Anty-oszustwa stają się coraz mądrzejsze:

    • 2000 — czyste skanowanie podpisów, tryb użytkownika
    • 2010 — sterowniki trybu jądra, rozszerzone telemetria
    • 2020 — uczenie maszynowe, analiza behawioralna, kontrole po stronie serwera, wczesne ładowanie systemu

    Tendencja jest jasna: analiza behawioralna po stronie serwera staje się ważniejsza niż skanowanie po stronie klienta. Oznacza to, że nawet doskonale zamaskowany oszust może zostać przyłapany na podejrzanej rozgrywce. Dlatego właściwe zachowanie w grze jest tak samo ważne jak jakość oszustwa.

    Jak to wpływa na wybór cheatów

    • Anti-cheat w trybie użytkownika (VAC) → nawet prosty kod zewnętrzny może pozostać niewykryty przez długi czas
    • Tryb jądra bez wcześniejszego uruchomienia (EAC, BattlEye) → wymaga oszustwa na poziomie jądra lub DMA
    • trybu jądra z wczesnym uruchomieniem (Vanguard) → w najtrudniejszym przypadku DMA jest najbardziej niezawodną opcją
    • Analiza po stronie serwera (Ricochet) → niewykrywalność techniczna nie wystarczy; konieczna jest legalna rozgrywka

    Więcej o typach cheatów i ich interakcji z anty-cheatami: Jak działają cheaty.

    Katalog IVSOFTE — kody z aktualnym statusem dla każdego anti-cheat. Przeglądaj katalog →