Jak działają cheaty w grach — wewnętrzne, zewnętrzne, kernel, DMA wyjaśnione

Kody do gier to nie magia — to skomplikowane technicznie programy, które wchodzą w interakcję z procesem gry na różnych poziomach. W tym artykule wyjaśniono jak faktycznie działają kody pod maską: od podstawowego odczytu pamięci po sterowniki na poziomie jądra i sprzętowe rozwiązania DMA.

Podstawy: jak gry przechowują dane

Każda gra online to program przechowujący informacje w pamięci RAM: pozycje gracza, stan zdrowia, broń, przedmioty, stan mapy. Klient gry otrzymuje te dane z serwera i wyświetla je na ekranie.

Oszustwo zasadniczo wykonuje jedną z dwóch rzeczy:

• Odczytuje pamięć — wydobywa ukryte dane (pozycje wroga za ścianami) i wyświetla je (ESP, radar)
• Zapisuje w pamięci — modyfikuje zachowanie gry (wspomaganie celowania, usuwanie odrzutu, zmiany prędkości)

Różnica między typami oszustw polega na o tym, w jaki sposób uzyskują dostęp do tej pamięci i na jakim poziomie uprawnień działają.

Kody wewnętrzne — wstrzykiwanie procesu

Jak działają

Wewnętrzny kod wstrzykuje swój kod (DLL) bezpośrednio do procesu gry. Po wstrzyknięciu kod działa w grze tak, jakby był jej częścią — z pełnym dostępem do całej pamięci i funkcji.

Proces wstrzykiwania:

1. Program ładujący znajduje proces gry w systemie
2. Przydziela pamięć wewnątrz tego procesu
3. Zapisuje kod oszustwa (DLL) do przydzielonej pamięci
4. Tworzy wątek wykonawczy — rozpoczyna się kod oszukiwania działanie

Zalety

• Pełny dostęp — kod widzi bezpośrednio wszystkie dane gry, bez warstw pośrednich
• Maksymalne funkcje — aimbot, ESP, chamy, wyzwalacz, brak odrzutu i wszelkie modyfikacje
• Wysoka wydajność — brak zbędnych nakładów związanych z odczytem pamięci zewnętrznej
• Renderowanie w grze — ESP a menu są rysowane poprzez zaczepy DirectX/Vulkan i pojawiają się jako część gry

Zagrożenia

Anty-cheat skanuje pamięć procesową gry i może wykryć obcy kod. Sprawdza także zaczepy renderujące, zmodyfikowane funkcje i podejrzane wątki wykonawcze. Właśnie dlatego wewnętrzni twórcy oszustw stale aktualizują swoje metody unikania.

Zewnętrzne kody — działają z zewnątrz

Jak działają

Zewnętrzne oszustwa to oddzielny proces przebiegający równolegle z grą. Odczytuje pamięć gry „z zewnątrz” za pośrednictwem systemowych interfejsów API (np. ReadProcessMemory w systemie Windows) lub poprzez niestandardowy sterownik.

Do wyświetlania informacji wykorzystuje nakładkę — przezroczyste okno umieszczone na górze gry, w którym rysowane są pola ESP, linie i inne elementy.

Nakładka — co to jest

Nakładka to w pełni przezroczyste okno umieszczone nad grą okno. Kod rysuje na nim informacje wizualne: ramki wokół graczy, paski zdrowia, dystans. Dla Ciebie wygląda to na część gry, ale technicznie jest to osobne okno.

Zaawansowane nakładki korzystają z metod obejścia, więc moduł anty-cheat nie może wykryć tego okna.

Zalety

• Nie wprowadza się do gry — brak obcego kodu w procesie gry
• Łatwiejsza aktualizacja — nie zależy od wewnętrznych ustawień gry struktura renderowania
• Wytrzymuje aktualizacje gry — jeśli struktury danych nie uległy zmianie

Ograniczenia

• Mniej funkcji — trudniejsze do wdrożenia chamy, wyzwalacze, modyfikacje renderowania
• Można wykryć nakładkę — ochrona przed oszustwami sprawdza okna umieszczone nad grą
• Odczyt pamięci zewnętrznej — ochrona przed oszustwami monitoruje dostęp do pamięci procesu gry

Kody na poziomie jądra — warstwa jądra systemu operacyjnego

Jak działają

Poziom jądra to najbardziej uprzywilejowana warstwa w systemie operacyjnym. Zwykłe programy działają w trybie użytkownika (Pierścień 3), podczas gdy jądro systemu operacyjnego i sterowniki działają w trybie jądra (Pierścień 0).

Oszustwo na poziomie jądra ładuje niestandardowy sterownik do jądra systemu Windows. Ten sterownik ma maksymalne uprawnienia:

• Może czytać i zapisywać dowolną pamięć w systemie
• Może ukrywać procesy i pliki
• Może przechwytywać wywołania systemowe
• Działa na tym samym poziomie, co sam moduł zabezpieczający

Ring 0 vs Ring 3

Procesory Intel i AMD mają system „pierścieni ochronnych”:

• Pierścień 3 (tryb użytkownika) — zwykłe programy, gry, przeglądarki. Ograniczony dostęp
• Pierścień 0 (tryb jądra) — jądro systemu operacyjnego, sterowniki, zabezpieczenia przed oszustwami. Pełny dostęp do wszystkiego

Gdy w Ring 0 działa anty-cheat (np. Vanguard lub EAC), łatwo jest wykryć zwykły zewnętrzny cheat Ring 3. Oszustwo na poziomie jądra zostaje podniesione do tego samego poziomu co zabezpieczenie przed oszustwami, uzyskując równe możliwości.

Metody ładowania sterowników

• Ręczne mapowanie — ładowanie sterownika do pamięci jądra bez rejestracji systemu. Nie pozostawia śladów na liście sterowników
• Wykorzystywanie luk w sterownikach (BYOVD) — używanie legalnego, ale podatnego na ataki sterownika innej firmy w celu uzyskania dostępu do jądra
• Podpisany sterownik — jeśli programista posiada certyfikat podpisywania kodu (certyfikat EV), sterownik ładuje się standardowymi sposobami

Dlaczego jest to ważne

Oszustwo na poziomie jądra może:

• Przeczytać pamięć gry niewidoczna dla skanerów w trybie użytkownika
• Ukryj jej procesy i pliki przed zabezpieczeniem przed oszustwami
• Pomiń sprawdzanie integralności jądra
• Uruchom przed uruchomieniem modułu zabezpieczającego przed oszustwami

DMA — poziom sprzętu

DMA (bezpośredni dostęp do pamięci) przyjmuje zasadniczo inne podejście. Zamiast programowego dostępu do pamięci, urządzenie fizyczne (karta PCIe) odczytuje pamięć RAM komputera do gier bezpośrednio przez magistralę PCIe.

Dane są przesyłane do drugiego komputera, na którym działa oprogramowanie do oszukiwania. Na komputerze do gier nie działa żadne obce oprogramowanie — odtwarza tylko grę. Funkcja Anti-cheat nie może wykryć oszustwa, ponieważ po prostu nie istnieje ono w tym systemie.

Szczegółowe porównanie DMA i kodów programowych w naszym artykule: DMA a kody programowe.

Makra — brak dostępu do pamięci

Makra wyróżniają się. Nie czytają ani nie modyfikują pamięci gier. Zamiast tego automatyzują działania klawiatury i myszy — na przykład kompensują odrzut broni serią ruchów mikromyszą.

Makra działają na poziomie urządzenia wejściowego (mysz, klawiatura) lub za pośrednictwem emulatorów programowych. Ponieważ nie wchodzą w interakcję z procesem gry, są trudniejsze do wykrycia — ale niektóre programy zabezpieczające analizują wzorce wejściowe i potrafią zidentyfikować nienaturalne zachowanie.

W jaki sposób kody „widzą” wrogów przez ściany

Jedno z najczęstszych pytań: w jaki sposób ESP wyświetla wrogów, których nie widać na ekranie?

Klient gry zna położenie wszystkich graczy w określonym promieniu — serwer wysyła te dane w postaci dźwięku obliczenia, minimapa, wstępne ładowanie modelu. Kod po prostu wyodrębnia te współrzędne z pamięci i rysuje je na ekranie — pudełka, szkielety, odległość.

Niektóre gry korzystają z kontroli widoczności po stronie serwera — serwer nie wysyła danych o graczach za ścianami. To sprawia, że ​​ESP jest trudniejsze, ale nie niemożliwe — dane zwykle docierają nieco wcześniej, zanim gracz stanie się widoczny.

Jak Aimbot „celuje” dla Ciebie

Aimbot zna współrzędne wroga (z pamięci gry) i pozycję twojego celownika. Oblicza kąt potrzebny do obrotu kamery, a następnie:

• Zapisuje nowe kąty do pamięci gry (wewnętrzny aimbot) — natychmiastowy, ale ryzykowny
• Emuluje ruch myszy (zewnętrzny aimbot) — płynniejszy, trudniejszy do wykrycia
• Wysyła dane wejściowe przez KmBox (celownik DMA) — poprzez sprzętowy emulator wejścia

Zaawansowane aimboty dodają wygładzanie, ograniczenia pola widzenia i opóźnianie, aby ruchy wyglądały jak ludzkie.

Porównanie Tabela

Co wybrać

Twój wybór zależy od priorytety:

• Maksymalna liczba funkcji → Wewnętrzna lub na poziomie jądra
• Równowaga funkcji i bezpieczeństwa → Na poziomie jądra lub jakości Zewnętrzna
• Maksymalne bezpieczeństwo → DMA
• Tylko kontrola odrzutu → Makra

Szczegółowy przewodnik wyboru: Jak wybrać kod. Opisy funkcji (ESP, Aimbot, Wallhack): Przewodnik po funkcjach cheatów.