Чтобы понять, как работают читы, нужно понять, как работает их противник — античит. Современные системы защиты — сложные программные комплексы, которые действуют на нескольких уровнях одновременно. Разберём, как они устроены изнутри.

Два уровня работы: User-Mode и Kernel-Mode

Все античиты можно разделить по уровню привилегий, на котором они работают.

User-Mode античиты

Работают на том же уровне, что и обычные программы (Ring 3). Могут:

  • Сканировать процессы — искать известные читы по сигнатурам (хэши файлов, строки в памяти)
  • Проверять целостность файлов игры — сравнивать контрольные суммы с эталонными
  • Мониторить обращения к памяти — какие процессы читают память игры
  • Проверять окна — поиск оверлеев поверх игры

Ограничение: user-mode античит не видит то, что происходит в ядре. Kernel-level чит может полностью скрыться от такого сканера.

Kernel-Mode античиты

Работают на уровне ядра ОС (Ring 0) — том же, где работают драйверы устройств. Это даёт им практически неограниченные возможности:

  • Полный доступ к памяти — включая память ядра, где могут скрываться читы
  • Перехват системных вызовов — отслеживание всех обращений к памяти, файлам, реестру
  • Проверка загруженных драйверов — поиск несанкционированных или уязвимых драйверов
  • Мониторинг до запуска игры — некоторые загружаются при старте Windows
  • Обнаружение скрытых процессов — даже если чит пытается скрыть свой процесс, kernel-mode античит может найти его

К kernel-mode относятся: Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty).

Основные методы обнаружения

1. Сигнатурное сканирование

Самый старый и базовый метод. Античит хранит базу сигнатур — уникальных последовательностей байтов, характерных для известных читов. При сканировании он ищет совпадения в:

  • Загруженных модулях и DLL
  • Памяти процесса игры
  • Файлах на диске
  • Драйверах в ядре

Обход: разработчики читов обфускируют код (меняют сигнатуры) при каждом обновлении. Именно поэтому читы, попавшие в базу сигнатур, получают статус Detected — их уникальный «отпечаток» известен античиту.

2. Мониторинг памяти

Античит отслеживает, какие процессы и драйверы обращаются к памяти игры:

  • Хуки API — перехват функций вроде ReadProcessMemory, WriteProcessMemory
  • Защита страниц памяти — установка специальных флагов на критические области памяти игры
  • Callback-уведомления — регистрация нотификаций при создании новых процессов, потоков, загрузке модулей

3. Проверка целостности

Античит проверяет, что код игры и её ресурсы не были модифицированы:

  • Хэши секций кода — контрольные суммы исполняемых секций сравниваются с эталоном
  • Проверка хуков — поиск модифицированных функций (jmp/call, которых не должно быть)
  • IAT/EAT проверки — таблицы импорта/экспорта не должны содержать подмен

4. Проверка драйверов

Kernel-mode античиты контролируют драйверы в системе:

  • Whitelist/blacklist — список разрешённых и запрещённых драйверов по хэшу или подписи
  • Проверка подписей — Windows требует подписи для загрузки драйверов (Secure Boot + DSE). Читы обходят это через уязвимые подписанные драйверы (BYOVD) или маппинг
  • Обнаружение замапленных драйверов — поиск кода в ядре, который не зарегистрирован как легитимный драйвер

5. Поведенческий анализ

Современные античиты не ограничиваются сканированием — они анализируют поведение игрока:

  • Статистические аномалии — нечеловеческий процент попаданий в голову, идеальный tracking через стены
  • Анализ ввода — паттерны движения мыши, скорость реакции, равномерность нажатий
  • Серверные проверки — сервер сравнивает действия игрока с тем, что он «должен видеть» (видимость врагов, время реакции)
  • Machine Learning — некоторые античиты (Ricochet) используют ML-модели для выявления нетипичного поведения

Поведенческий анализ — причина, по которой даже необнаруженный чит может привести к бану, если использовать его слишком агрессивно.

Основные античиты: детали

Easy Anti-Cheat (EAC)

Игры: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt: Showdown

Уровень: Kernel-mode

Особенности:

  • Компонент ядра загружается при запуске игры
  • Агрессивное сканирование памяти ядра
  • Частые обновления сигнатурной базы
  • Сбор телеметрии о системе
  • Проверка целостности файлов игры

EAC — один из самых распространённых античитов. Его сила — в частоте обновлений: новые сигнатуры добавляются регулярно, что делает жизнь разработчиков читов сложнее. Подробный гайд по EAC →

BattlEye

Игры: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Уровень: Kernel-mode

Особенности:

  • Драйвер ядра с глубоким доступом
  • Активное сканирование user-mode и kernel-mode
  • Серверные эвристики — анализ поведения на стороне сервера
  • Blacklist уязвимых драйверов
  • Система банов по волнам и мгновенных банов

BattlEye известен агрессивной клиентской работой — он глубоко инспектирует систему и использует множество callback-ов для мониторинга. Подробный гайд по BattlEye →

Vanguard

Игры: Valorant

Уровень: Kernel-mode (загружается при старте Windows)

Особенности:

  • Запускается при загрузке ОС — не при запуске игры, а при включении компьютера
  • Требует Secure Boot и TPM
  • Блокирует уязвимые драйверы до запуска игры
  • Мониторит систему непрерывно
  • Мгновенные баны за обнаруженные читы

Vanguard — самый жёсткий массовый античит. Его ранний запуск при загрузке ОС делает обход значительно сложнее, чем у конкурентов. Подробный гайд по Vanguard →

Ricochet

Игры: Call of Duty (Warzone, MW, BO6)

Уровень: Kernel-mode + серверный

Особенности:

  • Kernel-level драйвер на стороне клиента
  • Серверный компонент с ML — машинное обучение для анализа поведения
  • «Наказание» вместо мгновенного бана — может включить «щит» (Damage Shield), уменьшить видимость читера
  • Меняет методы обнаружения каждый сезон

Уникальность Ricochet — в серверном акценте. Даже если клиентский компонент не обнаружил чит, серверный анализ может определить читера по поведению. Подробный гайд по Ricochet →

VAC (Valve Anti-Cheat)

Игры: CS2, Team Fortress 2, Dota 2

Уровень: User-mode

Особенности:

  • Работает полностью в user-mode (Ring 3)
  • Сигнатурное сканирование процессов и модулей
  • Волновые баны — собирает данные тихо, банит массово через недели/месяцы
  • Не использует kernel-level компонент

VAC кажется мягче конкурентов, но его стратегия «тихого сбора» обманчива: чит может работать неделями, а потом прийти волна банов. Дополняется системой Overwatch (анализ записей игроков) и VACNet (ML-система для CS2).

Что античиты знают о вашей системе

Kernel-mode античиты собирают обширную информацию:

  • HWID — идентификаторы дисков, материнской платы, сетевых карт, GPU, RAM
  • Список процессов — все запущенные программы
  • Загруженные драйверы — полный список с хэшами
  • Установленные программы — через реестр
  • Окна — список окон и их свойства
  • Сетевые соединения — активные подключения

Эта информация отправляется на серверы античита для анализа. Именно поэтому HWID-спуфер — важная часть защиты.

Эволюция: от сигнатур к AI

Античиты становятся умнее:

  • 2000-е — чистое сигнатурное сканирование, user-mode
  • 2010-е — kernel-mode драйверы, расширенная телеметрия
  • 2020-е — машинное обучение, поведенческий анализ, серверные проверки, ранний запуск при загрузке ОС

Тренд ясен: серверный анализ поведения становится важнее клиентского сканирования. Это значит, что даже идеально замаскированный чит может быть обнаружен по подозрительной игре. Поэтому правильное поведение в игре не менее важно, чем качество самого чита.

Как это влияет на выбор чита

  • User-mode античит (VAC) → даже простой external-чит может долго оставаться необнаруженным
  • Kernel-mode без раннего запуска (EAC, BattlEye) → нужен kernel-level чит или DMA
  • Kernel-mode с ранним запуском (Vanguard) → самый сложный случай, DMA — наиболее надёжный вариант
  • Серверный анализ (Ricochet) → техническая необнаружимость недостаточна, нужна легитимная игра

Подробнее о типах читов и их взаимодействии с античитами — в статье Как работают читы.

Каталог IVSOFTE — читы с актуальным статусом для каждого античита. Перейти в каталог →