ระบบ Anti-Cheat ทำงานอย่างไร — เคอร์เนล โหมดผู้ใช้ การวิเคราะห์พฤติกรรม อธิบาย
คำอธิบายทางเทคนิคของระบบป้องกันโกง: เคอร์เนลกับโหมดผู้ใช้ Ring 0 ลายเซ็นไดรเวอร์ การวิเคราะห์พฤติกรรม การตรวจฝั่งเซิร์ฟเวอร์ ภาพรวมครบถ้วน
เพื่อที่จะเข้าใจวิธีการทำงานของกลโกง คุณต้องเข้าใจศัตรูของพวกเขา — ป้องกันการโกง ระบบป้องกันสมัยใหม่เป็นชุดซอฟต์แวร์ที่ซับซ้อนที่ทำงานในหลายระดับพร้อมกัน เรามาดูรายละเอียดวิธีการทำงานจากภายในกันดีกว่า
ระดับการทำงานสองระดับ: โหมดผู้ใช้และโหมดเคอร์เนล
โปรแกรมป้องกันการโกงทั้งหมดสามารถจัดหมวดหมู่ตามระดับสิทธิ์
โปรแกรมป้องกั���การโกงโหมดผู้ใช้
ทำงานในระดับเดียวกับโปรแกรมทั่วไป (Ring 3) พวกเขาสามารถ:
- สแกนกระบวนการ — ค้นหากลโกงที่รู้จักด้วยลายเซ็น (แฮชของไฟล์, สตริงหน่วยความจำ)
- ตรวจสอบความสมบูรณ์ของไฟล์ — เปรียบเทียบการตรวจสอบไฟล์เกมกับค่าอ้างอิง
- ตรวจสอบการเข้าถึงหน่วยความจำ — ติดตามว่ากระบวนการใดอ่านหน่วยความจำของเกม
- ตรวจสอบหน้าต่าง — ค้นหาโอเวอร์เลย์ที่วางอยู่เหนือ เกม
ข้อจำกัด: ระบบป้องกันการโกงในโหมดผู้ใช้ ไม่สามารถมองเห็นสิ่งที่เกิดขึ้นในเคอร์เนล การโกงระดับเคอร์เนลสามา��ถซ่อนจากสแกนเนอร์ดังกล่าวได้อย่างสมบูรณ์
Kernel-Mode Anti-Cheats
ทำงานที่ระดับเคอร์เนล OS (Ring 0) — ระดับเดียวกับที่ไดรเวอร์อุปกรณ์ทำงาน ซึ่งให้ความสามารถที่แทบไม่จำกัด:
- การเข้าถึงหน่วยความจำเต็มรูปแบบ — รวมถึงหน่วยความจำเคอร์เนลที่อาจซ่อนสูตรโกง
- การสกัดกั้นการเรียกของระบบ — ติดตามการเข้าถึงหน่วยความจำ ไฟล์ และรีจิสทรีทั้งหมด
- การตรวจสอบไดรเวอร์ — การค้นหาไดรเวอร์ที่ไม่ได้รับอนุญาตหรือมีช่องโหว่
- การตรวจสอบก่อนเกม — มีภาระบางส่วนเมื่อเริ่มต้น Windows
- การตรวจจับกระบวนการที่ซ่อนอยู่ — แม้ว่าจะเป็นการโกง ซ่อนกระบวนการของมัน ซึ่งโปรแกรมป้องกันการโกงในโหมดเคอร์เนลสามารถค้นหาได้
โปรแกรมป้องกันการโกงในโหมดเคอร์เนลประกอบด้วย: Vanguard (Valorant), EAC (Easy Anti-Cheat), BattlEye, Ricochet (Call of Duty)
วิธีการตรวจจับคอร์
1. การสแกนลายเซ็น
วิธีการที่เก่าแก่ที่สุดและพื้นฐานที่สุด ระบบป้องกันก���รโกงจะรักษาฐานข้อมูลลายเซ็น — ลำดับไบต์ที่ไม่ซ้ำกันซึ่งมีลักษณะเฉพาะของการโกงที่รู้จัก ในระหว่างการสแกน ระบบจะค้นหารายการที่ตรงกันใน:
- โมดูลที่โหลดและ DLLs
- หน่วยความจำกระบวนการเกม
- ไฟล์บนดิสก์
- ไดรเวอร์เคอร์เนล
บายพาส: นักพัฒนาโกง สร้างโค้ดที่สับสน (เปลี่ยนลายเซ็น) ทุกครั้งที่อัปเดต นี่คือสาเหตุที่กลโกงที่เข้าสู่ฐานข้อมูลลายเซ็นได้รับสถานะ ตรวจพบแล้ว — "ลายนิ้วมือ" ที่เป็นเอกลักษณ์ของพวกเขาเป็นที่รู้จักในการป้องกันการโกง
2. การตรวจสอบหน่วยความจำ
การติดตามป้องกันการโกงที่กระบวนการและไดรเวอร์เข้าถึงหน่วยความจำเกม:
- API hooks — ขัดขวางฟังก์ชันต่างๆ เช่น
ReadProcessMemory,WriteProcessMemory - การป้องกันหน้าหน่วยความจำ — การตั้งค่าแฟล็กพิเศษในพื้นที่หน่วยความจำเกมที่สำคัญ
- การแจ้งเตือนการโทรกลับ — การลงทะเบียนการแจ้งเตือนสำหรับการสร้างกระบวนการใหม่ การสร้างเธรด การโหลดโมดูล
3. การตรวจสอบความสมบูรณ์
การป้องกันการโกงจะตรวจสอบว่าโค้ดเกมและทรัพยากรไม่ได้ได้รับการแก้ไข:
- แฮชส่วนของโค้ด — การตรวจสอบส่วนที่ปฏิบัติการได้เปรียบเทียบกับค่าอ้างอิง
- การตรวจจับตะขอ — การค้นหาฟังก์ชันที่ถูกแก้ไข (คำแนะนำ jmp/การโทรที่ไม่ควรอยู่ที่นั่น)
- การตรวจสอบ IAT/EAT — ตารางนำเข้า/ส่งออกจะต้องไม่มี การทดแทน
4. การตรวจสอบไดรเวอร์
ไดรเวอร์ระบบควบคุมป้องกันการโกงโหมดเคอร์เนล:
- บัญชีขาว/บัญชีดำ — ไดรเวอร์ที่อนุญาตและห้ามโดยแฮชหรือลายเซ็น
- การตรวจสอบลายเซ็น — Windows ต้องใช้ลายเซ็นสำหรับการโหลดไดรเวอร์ (Secure Boot + DSE) สูตรโกงเลี่ยงผ่านสิ่งนี้ผ่านไดรเวอร์ที่มีลายเซ็นต์ที่มีช่องโหว่ (BYOVD) หรือการแมป
- การตรวจจับไดรเวอร์ที่แมป — ค้นหาโค้ดในเคอร์เนลที่ไม่ได้ลงทะเบียนเป็นไดรเวอร์ที่ถูกต้องตามกฎหมาย
5 การวิเคราะห์พฤติกรรม
การต่อต้านกลโกงสมัยใหม่เป็นมากกว่าการสแกน — พวกเขาวิเคราะห์ พฤติกรรมของผู้เล่น:
- ความผิดปกติทางสถิติ — เปอร์เซ็นต์การยิงหัวที่ไร้มนุษยธรรม การติดตามผ่านกำแพงที่สมบูรณ์แบบ
- การวิเคราะห์อินพุต — รูปแบบการเคลื่อนไหวของเมาส์ ความเร็วปฏิกิริยา ความสม่ำเสมอของการกดแป้นพิมพ์
- การตรวจสอบฝั่งเซิร์ฟเวอร์ — เซิร์ฟเวอร์เปรียบเทียบการกระทำของผู้เล่นกับสิ่งที่พวกเขา "ควร" ดู" (การมองเห็นศัตรู เวลาตอบสนอง)
- แมชชีนเลิร์นนิง — โปรแกรมป้องกันการโกง (แฉลบ) บางตัวใช้โมเดล ML เพื่อ ระบุพฤติกรรมที่ผิดปกติ
การวิเคราะห์พฤติกรรมเป็นสาเหตุว่าทำไมแม้แต่ การโกงที่ตรวจไม่พบ ก็สามารถนำไปสู่การแบนได้หากใช้มากเกินไป
โปรแกรมต่อต้านโกงหลัก: รายละเอียด
Easy Anti-Cheat (EAC)
เกม: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt: การประลอง
ระดับ: โหมดเคอร์เนล
คุณสมบัติหลัก:
- องค์ประกอบเคอร์เนลโหลดพร้อมกับการเปิดตัวเกม
- การสแกนหน่วยความจำเคอร์เนลเชิงรุก
- การอัปเดตฐานข้อมูลลายเซ็นบ่อยครั้ง
- การรวบรวมการวัดและส่งข้อมูลทางไกลของระบบ
- การตรวจสอบความสมบูรณ์ของไฟล์เกม
EAC เป็นหนึ่งในโปรแกรมต่อต้านการโกงที่แพร่หลายที่สุด จุดแข็งของมันอยู่ที่ความถี่ในการอัปเดต: มีการเพิ่มลายเซ็นใหม่เป็นประจำ ทำให้ชีวิตของนักพัฒนาโกงยากขึ้น คู่มือ EAC โดยละเอียด →
BattlEye
เกม: Escape from Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned
ระดับ: โหมดเคอร์เนล
คุณสมบัติหลัก:
- ไดรเวอร์เคอร์เนลที่มีความลึก การเข้าถึง
- การสแกนโหมดผู้ใช้และโหมดเคอร์เนลที่ใช้งานอยู่
- การวิเคราะห์พฤติกรรมฝั่งเซิร์ฟเวอร์ — การวิเคราะห์พฤติกรรมบนฝั่งเซิร์ฟเวอร์
- บัญชีดำไดรเวอร์ที่มีช่องโหว่
- ระบบแบน Wave และระบบแบนทันที
BattlEye เป็นที่รู้จักในด้านงานฝั่งไคลเอ็นต์เชิงรุก — ตรวจสอบระบบอย่างลึกซึ้งและใช้การเรียกกลับจำนวนมากสำหรับการตรวจสอบ คู่มือ BattlEye โดยละเอียด →
Vanguard
เกม: Valorant
ระดับ: โหมดเคอร์เนล (โหลดเมื่อเริ่มต้น Windows)
คุณสมบัติหลัก:
- เริ่มเมื่อบูตระบบปฏิบัติการ — ไม่ใช่เมื่อเกมเปิดตัว แต่เมื่อ คอมพิวเตอร์เปิดอยู่
- ต้องใช้ Secure Boot และ TPM
- บล็อกไดรเวอร์ที่มีช่องโหว่ก่อนเปิดตัวเกม
- ตรวจสอบระบบอย่างต่อเนื่อง
- แบนทันทีสำหรับการโกงที่ตรวจพบ
Vanguard เป็นการต่อต้านการโกงกระแสหลักที่รุนแรงที่สุด การบูตเครื่องตั้งแต่เนิ่นๆ ทำให้การบายพาสทำได้ยากกว่าคู่แข่งอย่างมาก คู่มือ Vanguard โดยละเอียด →
Ricochet
เกม: Call of Duty (Warzone, MW, BO6)
ระดับ: โหมดเคอร์เนล + ฝั่งเซิร์ฟเวอร์
คุณสมบัติหลัก:
- ฝั่งไคลเอ็นต์ระดับเคอร์เนล โปรแกรมควบคุม
- ส่วนประกอบเซิร์ฟเวอร์ที่มี ML — การเรียนรู้ของเครื่องสำหรับการวิเคราะห์พฤติกรรม
- "การลงโทษ" แทนการแบนทันที - สามารถเปิดใช้งานโล่ความเสียหาย ลดการมองเห็นผู้โกง
- เปลี่ยนวิธีการตรวจจับในแต่ละฤดูกาล
เอกลักษณ์ของ Ricochet อยู่ที่การมุ่งเน้นฝั่งเซิร์ฟเวอร์ แม้ว่าองค์ประกอบของไคลเอนต์ตรวจไม่พบการโกง แต่การวิเคราะห์เซิร์ฟเวอร์ก็สามารถระบุตัวโกงตามพฤติกรรมได้ คู่มือ Ricochet โดยละเอียด →
VAC (Valve Anti-Cheat)
เกม: CS2, Team Fortress 2, Dota 2
ระดับ: โหมดผู้ใช้
คุณสมบัติหลัก:
- ทำงานในโหมดผู้ใช้ทั้งหมด (Ring 3)
- การสแกนลายเซ็นของกระบวนการและโมดูล
- การแบน Wave — รวบรวมข้อมูลแบบเงียบ ๆ การแบนหลายสัปดาห์/เดือนต่อมา
- ไม่มีส่วนประกอบระดับเคอร์เนล
VAC ดูเหมือนจะเบากว่าคู่แข่ง แต่กลยุทธ์ "การรวบรวมแบบเงียบ" นั้นหลอกลวง: การโกงอาจใช้งานได้นานหลายสัปดาห์ จากนั้นคลื่นการแบนก็โจมตี เสริมด้วย Overwatch (การวิเคราะห์การเล่นซ้ำของผู้เล่น) และ VACNet (ระบบ ML สำหรับ CS2)
สิ่งที่ Anti-Cheat รู้เกี่ยวกับระบบของคุณ
การป้องกันการโกงในโหมดเคอร์เนลรวบรวมข้อมูลที่ครอบคลุม:
- HWID — ดิสก์, มาเธอร์บอร์ด, การ์ดเครือข่าย, GPU, ตัวระบุ RAM
- รายการกระบวนการ — ทำงานทั้งหมด โปรแกรม
- ไดรเวอร์ที่โหลด — รายการทั้งหมดพร้อมแฮช
- โปรแกรมที่ติดตั้ง — ผ่านรีจิสทรี
- Windows — รายการหน้าต่างและคุณสมบัติ
- การเชื่อมต่อเครือข่าย — การเชื่อมต่อที่ใช้งานอยู่
ข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ป้องกันการโกงเพื่อทำการวิเคราะห์ นี่คือเหตุผลว่าทำไม HWID spoofer จึงเป็นส่วนสำคัญของการป้องกัน
วิวัฒนาการ: จากลายเซ็นไปจนถึง AI
การต่อต้านการโกงกำลังฉลาดขึ้น:
- 2000s — การสแกนลายเซ็นล้วนๆ, โหมดผู้ใช้
- 2010s — ไดรเวอร์โหมดเคอร์เนลขยายแล้ว การตรวจวัดทางไกล
- ยุค 2020 — การเรียนรู้ของเครื่อง การวิเคราะห์พฤติกรรม การตรวจสอบฝั่งเซิร์ฟเวอร์ การโหลดการบูตล่วงหน้า
แนวโน้มชัดเจน: การวิเคราะห์พฤติกรรมฝั่งเซิร์ฟเวอร์ มีความสำคัญมากกว่าการสแกนฝั่งไคลเอ็นต์ ซึ่งหมายความว่าแม้กระทั่งการโกงที่ปิดบังไว้อย่างสมบูรณ์แบบก็สามารถถูกจับได้จากการเล่นเกมที่น่าสงสัย นั่นเป็นเหตุผลว่าทำไม พฤติกรรมในเกมที่เหมาะสม จึงมีความสำคัญพอๆ กับคุณภาพของสูตรโกง
สิ่งนี้ส่งผลต่อการเลือกสูตรโกงอย่างไร
- การป้องกันการโกงในโหมดผู้ใช้ (VAC) → แม้แต่การโกงภายนอกแบบธรรมดาก็สามารถไม่ถูกตรวจจับได้เป็นเวลานาน
- โหมดเคอร์เนลโดยไม่ต้องบูตก่อน (EAC, BattlEye) → ต้องใช้การโกงระดับเคอร์เนลหรือ DMA
- โหมดเคอร์เนลพร้อมการบูตล่วงหน้า (Vanguard) → กรณีที่ยากที่สุด DMA เป็นตัวเลือกที่น่าเชื่อถือที่สุด
- การวิเคราะห์ฝั่งเซิร์ฟเวอร์ (แฉลบ) → การตรวจจับทางเทคนิคไม่เพียงพอ การเล่นเกมที่ถูกต้องเป็นสิ่งจำเป็น
ข้อมูลเพิ่มเติมเกี่ยวกับประเภทสูตรโกงและการโต้ตอบกับสูตรโกง: วิธีการทำงานของสูตรโกง.
แคตตาล็อก IVSOFTE — สูตรโกงที่มีสถานะปัจจุบันสำหรับการต่อต้านการโกงทุกครั้ง เรียกดูแคตตาล็อก →