Para entender como os cheats funcionam, você precisa entender seu adversário: o anti-cheat. Os sistemas de proteção modernos são conjuntos de software complexos que operam em vários níveis simultaneamente. Vamos detalhar como eles funcionam por dentro.

Dois níveis operacionais: Modo de usuário e Modo Kernel

Todos os anti-cheats podem ser categorizados por seu nível de privilégio.

Anti-Cheats de modo de usuário

Operam no mesmo nível dos programas normais (Anel 3). Eles podem:

  • Verificar processos — procurar cheats conhecidos por assinaturas (hashes de arquivos, strings de memória)
  • Verificar a integridade dos arquivos — comparar somas de verificação de arquivos do jogo com valores de referência
  • Monitorar o acesso à memória — rastrear quais processos leem a memória do jogo
  • Verificar janelas — procurar por sobreposições colocadas sobre o jogo

Limitação: um anti-cheat no modo de usuário não consegue ver o que acontece no kernel. Um cheat no nível do kernel pode se esconder completamente de tal scanner.

Anti-Cheats no modo Kernel

Opera no nível do kernel do sistema operacional (anel 0) — o mesmo nível em que os drivers de dispositivo são executados. Isso lhes dá recursos virtualmente ilimitados:

  • Acesso total à memória — incluindo memória do kernel onde os cheats podem se esconder
  • Interceptação de chamadas do sistema — rastreando todo o acesso à memória, arquivo e registro
  • Inspeção de driver — encontrando drivers não autorizados ou vulneráveis
  • Monitoramento pré-jogo — alguma carga na inicialização do Windows
  • Detecção de processos ocultos — mesmo que seja um cheat esconde seu processo, um anti-cheat no modo kernel pode encontrá-lo

Os anti-cheats no modo kernel incluem: Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty).

Métodos de detecção de núcleo

1. Digitalização de assinatura

O método mais antigo e básico. O anti-cheat mantém um banco de dados de assinaturas — sequências de bytes exclusivas características de cheats conhecidos. Durante a verificação, ele procura correspondências em:

  • Módulos carregados e DLLs
  • Memória do processo do jogo
  • Arquivos no disco
  • Drivers do kernel

Ignorar: desenvolvedores de cheats ofuscam o código (alteram assinaturas) a cada atualização. É por isso que os cheats que entram no banco de dados de assinaturas recebem o status de Detectados — sua "impressão digital" exclusiva é conhecida pelo anti-cheat.

2. Monitoramento de memória

O anti-cheat rastreia quais processos e drivers acessam a memória do jogo:

  • Ganchos de API — interceptando funções como ReadProcessMemory, WriteProcessMemory
  • Proteção de página de memória — configurando sinalizadores especiais em regiões críticas da memória do jogo
  • Notificações de retorno de chamada — registrando notificações para criação de novos processos, threads criação, carregamento de módulo

3. Verificações de integridade

O anti-cheat verifica se o código e os recursos do jogo não foram modificados:

  • Hashes de seção de código — somas de verificação de seção executável comparadas com valores de referência
  • Detecção de gancho — pesquisa de funções modificadas (instruções jmp/call que não deveriam estar lá)
  • Verificações IAT/EAT — tabelas de importação/exportação não devem conter substituições

4. Verificação de driver

Drivers do sistema de controle anti-cheats no modo kernel:

  • Lista branca/lista negra — drivers permitidos e proibidos por hash ou assinatura
  • Verificação de assinatura — O Windows requer assinaturas para carregamento de driver (Inicialização segura + DSE). Os cheats contornam isso por meio de drivers assinados vulneráveis ​​(BYOVD) ou mapeamento
  • Detecção de driver mapeado — procurando código no kernel não registrado como driver legítimo

5. Análise Comportamental

Os anti-cheats modernos vão além da varredura — eles analisam o comportamento do jogador:

  • Anomalias estatísticas — porcentagens desumanas de tiros na cabeça, rastreamento perfeito através de paredes
  • Análise de entrada — padrões de movimento do mouse, velocidade de reação, uniformidade de pressionamento de tecla
  • Verificações do lado do servidor — o servidor compara as ações do jogador com o que eles "deveria ver" (visibilidade do inimigo, tempo de reação)
  • Aprendizado de máquina — alguns anti-cheats (Ricochet) usam modelos de ML para identificar comportamento atípico

A análise comportamental é a razão pela qual até mesmo um cheat não detectado pode levar ao banimento se usado de forma muito agressiva.

Principais anti-cheats: detalhes

Easy Anti-Cheat (EAC)

Jogos: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt: Showdown

Nível: Modo Kernel

Principais recursos:

  • Os componentes do kernel carregam com o lançamento do jogo
  • Verificação agressiva da memória do kernel
  • Atualizações frequentes do banco de dados de assinaturas
  • Coleta de telemetria do sistema
  • Verificação da integridade dos arquivos do jogo

EAC é um dos anti-cheats mais difundidos. Seu ponto forte está na frequência de atualização: novas assinaturas são adicionadas regularmente, dificultando a vida dos desenvolvedores de cheats. Guia EAC detalhado →

BattlEye

Jogos: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Nível: Modo Kernel

Chave recursos:

  • Driver de kernel com acesso profundo
  • Verificação ativa no modo de usuário e modo kernel
  • Heurística do lado do servidor - análise comportamental no lado do servidor
  • Lista negra de drivers vulneráveis
  • Sistemas de banimento de ondas e banimento instantâneo

BattlEye é conhecido por trabalho agressivo do lado do cliente - ele inspeciona profundamente o sistema e usa numerosos retornos de chamada para monitoramento. Guia detalhado do BattlEye →

Vanguard

Jogos: Valorant

Nível: Modo Kernel (carrega na inicialização do Windows)

Principais recursos:

  • Começa na inicialização do sistema operacional — não quando o jogo inicia, mas quando o computador liga
  • Requer inicialização segura e TPM
  • Bloqueia drivers vulneráveis antes do lançamento do jogo
  • Monitora o sistema continuamente
  • Banimentos instantâneos para cheats detectados

Vanguard é o anti-cheat convencional mais agressivo. Seu carregamento inicial torna o desvio significativamente mais difícil do que os concorrentes. Guia detalhado do Vanguard →

Ricochet

Jogos: Call of Duty (Warzone, MW, BO6)

Nível: Modo kernel + lado do servidor

Principais recursos:

  • Nível do kernel no lado do cliente driver
  • Componente de servidor com ML — aprendizado de máquina para análise comportamental
  • "Punição" em vez de banimentos instantâneos — pode ativar o Damage Shield, reduzir a visibilidade dos trapaceiros
  • Métodos de detecção de mudanças a cada temporada

A singularidade do Ricochet reside em seu foco no servidor. Mesmo que o componente cliente não detecte o cheat, a análise do servidor pode identificar o cheater por comportamento. Guia detalhado do Ricochet →

VAC (Valve Anti-Cheat)

Jogos: CS2, Team Fortress 2, Dota 2

Nível: Modo de usuário

Principais recursos:

  • Executa inteiramente no modo de usuário (Ring 3)
  • Verificação de assinatura de processos e módulos
  • Wave bans — coleta dados silenciosamente, bane em massa semanas/meses depois
  • Nenhum componente no nível do kernel

O VAC parece mais suave do que os concorrentes, mas sua estratégia de "coleta silenciosa" é enganosa: um cheat pode funcionar por semanas, então uma onda de banimentos ocorre. Complementado por Overwatch (análise de replay do jogador) e VACNet (sistema de ML para CS2).

O que os anti-cheats sabem sobre o seu sistema

Os anti-cheats no modo kernel coletam informações extensas:

  • HWID — disco, placa-mãe, placa de rede, GPU, identificadores de RAM
  • Lista de processos — todos em execução programas
  • Drivers carregados — lista completa com hashes
  • Programas instalados — via registro
  • Windows — lista de janelas e suas propriedades
  • Conexões de rede — conexões ativas

Essas informações são enviadas para servidores anti-cheat para análise. É exatamente por isso que um spoofer HWID é uma parte crítica da proteção.

Evolução: das assinaturas à IA

Os anti-cheats estão ficando mais inteligentes:

  • anos 2000 — verificação pura de assinaturas, modo de usuário
  • anos 2010 — drivers de modo kernel, expandidos telemetria
  • década de 2020 — aprendizado de máquina, análise comportamental, verificações no servidor, carregamento antecipado de inicialização

A tendência é clara: a análise comportamental no lado do servidor está se tornando mais importante do que a verificação no lado do cliente. Isso significa que até mesmo um cheat perfeitamente mascarado pode ser detectado em um jogo suspeito. É por isso que o comportamento adequado no jogo é tão importante quanto a qualidade do cheat.

Como isso afeta a seleção de cheats

  • Anti-cheat no modo de usuário (VAC) → até mesmo um simples cheat externo pode permanecer sem ser detectado por um longo tempo
  • Modo kernel sem inicialização antecipada (EAC, BattlEye) → requer um cheat em nível de kernel ou DMA
  • Modo kernel com inicialização antecipada (Vanguard) → caso mais difícil, DMA é a opção mais confiável
  • Análise do lado do servidor (Ricochet) → indetectabilidade técnica não é suficiente; é necessária uma jogabilidade legítima

Mais sobre tipos de cheats e sua interação com anti-cheats: Como funcionam os cheats.

Catálogo IVSOFTE — cheats com status atual para cada anti-cheat. Navegar no catálogo →