Como Funcionam os Cheats de Jogos — Interno, Externo, Kernel, DMA Explicados

Os cheats do jogo não são mágicos — são programas tecnicamente complexos que interagem com o processo do jogo em diferentes níveis. Este artigo explica como os cheats realmente funcionam nos bastidores: desde a leitura básica da memória até drivers no nível do kernel e soluções DMA de hardware.

O básico: como os jogos armazenam dados

Todo jogo online é um programa que armazena informações na RAM: posições dos jogadores, saúde, armas, itens, estado do mapa. O cliente do jogo recebe esses dados do servidor e os renderiza na tela.

Um cheat basicamente faz uma de duas coisas:

• Lê a memória — extrai dados ocultos (posições do inimigo atrás de paredes) e os exibe para você (ESP, radar)
• Escreve na memória — modifica o comportamento do jogo (assistência de mira, remoção de recuo, mudanças de velocidade)

A diferença entre os tipos de cheat está em como eles acessam essa memória e em que nível de privilégio eles operam.

Cheats internos — Injeção de processo

Como funcionam

Um cheat interno injeta seu código (DLL) diretamente no processo do jogo. Após a injeção, o código do cheat é executado dentro do jogo como se fosse parte dele — com acesso total a toda a memória e funções.

O processo de injeção:

1. O carregador encontra o processo do jogo no sistema
2. Aloca memória dentro desse processo
3. Escreve o código do cheat (DLL) na memória alocada
4. Cria um thread de execução — o código do cheat começa running

Vantagens

• Acesso total — o cheat vê todos os dados do jogo diretamente, sem camadas intermediárias
• Recursos máximos — aimbot, ESP, chams, triggerbot, sem recuo e quaisquer modificações
• Alto desempenho — sem sobrecarga de leitura de memória externa
• Renderização no jogo — ESP e os menus são desenhados por meio de ganchos DirectX/Vulkan, aparecendo como parte do jogo

Riscos

O anti-cheat verifica a memória do processo do jogo e pode detectar código estrangeiro. Ele também verifica ganchos de renderização, funções modificadas e threads de execução suspeitos. É por isso que os desenvolvedores de cheats internos atualizam constantemente seus métodos de evasão.

Cheats externos — trabalhando de fora

Como funcionam

Um cheat externo é um processo separado executado junto com o jogo. Ele lê a memória do jogo "de fora" por meio de APIs do sistema (por exemplo, ReadProcessMemory no Windows) ou por meio de um driver personalizado.

Para exibir informações, ele usa uma sobreposição — uma janela transparente colocada na parte superior do jogo onde caixas ESP, linhas e outros elementos são desenhados.

Sobreposição — O que é

Uma sobreposição é uma janela totalmente transparente posicionada sobre a janela do jogo. O cheat desenha informações visuais: caixas ao redor dos jogadores, barras de saúde, distância. Para você, parece parte do jogo, mas tecnicamente é uma janela separada.

Sobreposições avançadas usam métodos de desvio para que o anti-cheat não consiga detectar esta janela.

Vantagens

• Não injeta no jogo — nenhum código estranho dentro do processo do jogo
• Mais fácil de atualizar — não depende da renderização interna do jogo estrutura
• Pode sobreviver às atualizações do jogo — se as estruturas de dados não tiverem mudado

Limitações

• Menos recursos — mais difícil de implementar chams, triggerbot, modificações de renderização
• A sobreposição pode ser detectada — verificação anti-cheats para janelas colocadas sobre o jogo
• Leitura de memória externa — anti-cheat monitora o acesso ao jogo memória do processo do jogo

Cheats no nível do kernel – camada do kernel do sistema operacional

Como funcionam

O nível do kernel é a camada mais privilegiada no sistema operacional. Programas regulares são executados em modo de usuário (Anel 3), enquanto o kernel do sistema operacional e os drivers são executados em modo kernel (Anel 0).

Um cheat em nível de kernel carrega um driver personalizado no kernel do Windows. Este driver tem privilégios máximos:

• Pode ler e gravar qualquer memória no sistema
• Pode ocultar processos e arquivos
• Pode interceptar chamadas do sistema
• Opera no mesmo nível que o próprio anti-cheat

Anel 0 vs Anel 3

Os processadores Intel e AMD possuem um sistema de "anéis de proteção":

• Anel 3 (modo de usuário) — programas normais, jogos, navegadores. Limitado acesso
• Ring 0 (modo kernel) — kernel do sistema operacional, drivers, anti-cheats. Acesso total a tudo

Quando um anti-cheat é executado no Ring 0 (como Vanguard ou EAC), um cheat externo regular do Ring 3 é facilmente detectado. Um cheat em nível de kernel é elevado ao mesmo nível que o anti-cheat, ganhando capacidades iguais.

Métodos de carregamento de driver

• Mapeamento manual — carregando o driver na memória do kernel sem registro do sistema. Não deixa rastros na lista de drivers
• Exploração de driver vulnerável (BYOVD) — usando um driver de terceiros legítimo, mas vulnerável para obter acesso ao kernel
• Driver assinado — se o desenvolvedor tiver um certificado de assinatura de código (certificado EV), o driver é carregado por meios padrão

Por que é importante

Um cheat em nível de kernel pode:

• Ler a memória do jogo invisivelmente para scanners de modo de usuário
• Ocultar seus processos e arquivos do anti-cheat
• Ignorar verificações de integridade do kernel
• Executar antes do anti-cheat iniciar

DMA — Nível de hardware

DMA (Acesso direto à memória) tem uma abordagem fundamentalmente diferente. Em vez de acesso à memória baseado em software, um dispositivo físico (placa PCIe) lê a RAM do PC de jogo diretamente através do barramento PCIe.

Os dados são transmitidos para um segundo computador onde o software fraudulento é executado. O PC para jogos não executa nenhum software estrangeiro – ele apenas joga. O anti-cheat não consegue detectar o cheat porque ele simplesmente não existe naquele sistema.

Comparação detalhada entre DMA e cheats de software em nosso artigo: DMA vs Cheats de software.

Macros — Sem acesso à memória

As macros se destacam. Eles não leem nem modificam a memória do jogo. Em vez disso, eles automatizam as ações do teclado e do mouse – por exemplo, compensando o recuo da arma com uma série de movimentos de micro mouse.

As macros funcionam no nível do dispositivo de entrada (mouse, teclado) ou por meio de emuladores de software. Como eles não interagem com o processo do jogo, são mais difíceis de detectar, mas alguns anti-cheats analisam padrões de entrada e podem identificar comportamentos não naturais.

Como os cheats "vêem" os inimigos através das paredes

Uma das perguntas mais comuns: como o ESP mostra inimigos que não são visíveis na tela?

O cliente do jogo conhece as posições de todos os jogadores dentro de um determinado raio - o servidor envia esses dados para cálculos sólidos, minimapa, pré-carregamento do modelo. O cheat simplesmente extrai essas coordenadas da memória e as desenha na tela — caixas, esqueletos, distância.

Alguns jogos usam verificações de visibilidade do lado do servidor — o servidor não envia dados sobre jogadores atrás de paredes. Isso torna o ESP mais difícil, mas não impossível - os dados geralmente chegam um pouco mais cedo, antes que o jogador se torne visível.

Como o Aimbot "mira" para você

O Aimbot conhece as coordenadas do inimigo (da memória do jogo) e sua posição na mira. Ele calcula o ângulo necessário para girar a câmera e então:

• Escreve novos ângulos na memória do jogo (imbot interno) — instantâneo, mas arriscado
• Emula o movimento do mouse (imbot externo) — mais suave, mais difícil de detectar
• Envia entrada através do KmBox (imbot DMA) — via emulador de entrada de hardware

Aimbots avançados adicionam suavização, limites de FOV e atraso para fazer com que os movimentos pareçam humanos.

Comparação Tabela

O que escolher

Sua escolha depende de prioridades:

• Máximo de recursos → Interno ou em nível de kernel
• Equilíbrio de recursos e segurança → Nível de kernel ou qualidade Externo
• Máxima segurança → DMA
• Apenas controle de recuo → Macros

Guia de seleção detalhado: Como escolher um cheat. Descrições de recursos (ESP, Aimbot, Wallhack): Guia de recursos de cheats.