Để hiểu cách thức hoạt động của gian lận, bạn cần hiểu đối thủ của chúng — kẻ chống gian lận. Hệ thống bảo vệ hiện đại là bộ phần mềm phức tạp hoạt động đồng thời trên nhiều cấp độ. Hãy phân tích cách chúng hoạt động từ bên trong.

Hai cấp độ hoạt động: Chế độ người dùng và Chế độ hạt nhân

Tất cả các chương trình chống gian lận có thể được phân loại theo cấp đặc quyền của chúng.

Chống gian lận ở chế độ người dùng

Hoạt động ở cùng cấp độ với các chương trình thông thường (Vòng 3). Họ có thể:

  • Quét quy trình — tìm kiếm các mánh gian lận đã biết bằng chữ ký (băm tệp, chuỗi bộ nhớ)
  • Kiểm tra tính toàn vẹn của tệp — so sánh tổng kiểm tra tệp trò chơi với các giá trị tham chiếu
  • Giám sát quyền truy cập bộ nhớ — theo dõi quá trình nào đọc bộ nhớ của trò chơi
  • Kiểm tra cửa sổ — tìm kiếm các lớp phủ được đặt trên trò chơi

Hạn chế: a chống gian lận ở chế độ người dùng không thể thấy điều gì xảy ra trong kernel. Một mánh gian lận cấp hạt nhân hoàn toàn có thể ẩn khỏi máy quét như vậy.

Chống gian lận ở chế độ hạt nhân

Hoạt động ở cấp hạt nhân hệ điều hành (Ring 0) — cùng cấp độ mà trình điều khiển thiết bị chạy. Điều này mang lại cho chúng khả năng hầu như không giới hạn:

  • Quyền truy cập toàn bộ bộ nhớ — bao gồm bộ nhớ hạt nhân nơi các gian lận có thể ẩn
  • Chặn cuộc gọi hệ thống — theo dõi tất cả quyền truy cập vào bộ nhớ, tệp và sổ đăng ký
  • Kiểm tra trình điều khiển — tìm trình điều khiển trái phép hoặc dễ bị tấn công
  • Giám sát trước trò chơi — một số tải khi khởi động Windows
  • Phát hiện quy trình ẩn — ngay cả khi kẻ gian lận che giấu nó quá trình chống gian lận ở chế độ hạt nhân có thể tìm thấy nó

Các phần mềm chống gian lận ở chế độ hạt nhân bao gồm: Vanguard (Valorant), EAC (Dễ dàng chống gian lận), BattlEye, Ricochet (Call of Duty).

Phương pháp phát hiện cốt lõi

1. Quét chữ ký

Phương pháp lâu đời nhất, cơ bản nhất. Tính năng chống gian lận duy trì một cơ sở dữ liệu chữ ký — các chuỗi byte duy nhất đặc trưng của các hành vi gian lận đã biết. Trong quá trình quét, nó tìm kiếm các kết quả trùng khớp trong:

  • Các mô-đun và DLL đã tải
  • Bộ nhớ xử lý trò chơi
  • Các tệp trên đĩa
  • Trình điều khiển hạt nhân

Bỏ qua: các nhà phát triển gian lận làm xáo trộn mã (thay đổi chữ ký) với mỗi bản cập nhật. Đây là lý do tại sao những kẻ gian lận xâm nhập vào cơ sở dữ liệu chữ ký sẽ có trạng thái Đã phát hiện — "dấu vân tay" duy nhất của chúng được người chống gian lận biết đến.

2. Giám sát bộ nhớ

Theo dõi chống gian lận xử lý và trình điều khiển truy cập bộ nhớ trò chơi:

  • Móc API — chặn các chức năng như ReadProcessMemory, WriteProcessMemory
  • Bảo vệ trang bộ nhớ — đặt cờ đặc biệt trên các vùng bộ nhớ trò chơi quan trọng
  • Thông báo gọi lại — đăng ký thông báo để tạo quy trình mới, tạo chuỗi, mô-đun đang tải

3. Kiểm tra tính toàn vẹn

Chống gian lận xác minh rằng mã trò chơi và tài nguyên chưa bị sửa đổi:

  • Băm phần mã — tổng kiểm tra phần thực thi được so sánh với các giá trị tham chiếu
  • Phát hiện móc nối — tìm kiếm các hàm đã sửa đổi (hướng dẫn jmp/cuộc gọi không nên có)
  • Kiểm tra IAT/EAT — bảng nhập/xuất không được chứa sự thay thế

4. Xác minh trình điều khiển

Trình điều khiển hệ thống kiểm soát chống gian lận ở chế độ hạt nhân:

  • Danh sách trắng/danh sách đen — trình điều khiển được phép và bị cấm bằng hàm băm hoặc chữ ký
  • Xác minh chữ ký — Windows yêu cầu chữ ký để tải trình điều khiển (Khởi động an toàn + DSE). Kẻ gian lận vượt qua điều này thông qua các trình điều khiển có d���u hiệu dễ bị tấn công (BYOVD) hoặc ánh xạ
  • Phát hiện trình điều khiển được ánh xạ — tìm kiếm mã trong nhân chưa được đăng ký làm trình điều khiển hợp pháp

5. Phân tích hành vi

Các công cụ chống gian lận hiện đại vượt xa khả năng quét — chúng phân tích hành vi của người chơi:

  • Các bất thường về thống kê — tỷ lệ bắn trúng đầu không giống người, theo dõi xuyên tường hoàn hảo
  • Phân tích đầu vào — kiểu di chuyển chuột, tốc độ phản ứng, tính đồng nhất của thao tác gõ phím
  • Kiểm tra phía máy chủ — máy chủ so sánh hành động của người chơi với những gì họ "nên thấy" (k��� thù) khả năng hiển thị, thời gian phản ứng)
  • Học máy — một số phần mềm chống gian lận (Ricochet) sử dụng mô hình ML để xác định hành vi không điển hình

Phân tích hành vi là lý do tại sao ngay cả lừa đảo không bị phát hiện cũng có thể dẫn đến lệnh cấm nếu được sử dụng quá mạnh mẽ.

Chống gian lận chính: Chi tiết

Dễ dàng chống gian lận (EAC)

Trò chơi: Fortnite, Apex Legends, Rust, EFT Arena, Dead by Daylight, The Finals, Hunt: Cuộc thách đấu

Cấp độ: Chế độ hạt nhân

Các tính năng chính:

  • Thành phần hạt nhân tải khi khởi chạy trò chơi
  • Quét bộ nhớ hạt nhân linh hoạt
  • Cập nhật cơ sở dữ liệu chữ ký thường xuyên
  • Thu thập dữ liệu đo từ xa của hệ thống
  • Xác minh tính toàn vẹn của tệp trò chơi

EAC là một trong những biện pháp chống gian lận phổ biến nhất. Sức mạnh của nó nằm ở tần suất cập nhật: chữ ký mới được bổ sung thường xuyên, khiến cuộc sống của những kẻ phát triển gian lận trở nên khó khăn hơn. Hướng dẫn EAC chi tiết →

BattlEye

Trò chơi: Thoát khỏi Tarkov, Rainbow Six Siege, PUBG, DayZ, Arma 3, Unturned

Cấp độ: Kernel-mode

Các tính năng chính:

  • Trình điều khiển hạt nhân sâu truy cập
  • Quét chế độ hạt nhân và chế độ người dùng đang hoạt động
  • Khả năng phỏng đoán phía máy chủ — phân tích hành vi ở phía máy chủ
  • Danh sách đen trình điều khiển dễ bị tổn thương
  • Các hệ th���ng cấm sóng và cấm tức thời

BattlEye nổi tiếng với công việc tích cực phía khách hàng — nó kiểm tra sâu hệ thống và sử dụng nhiều lệnh gọi lại để giám sát. Hướng dẫn chi tiết về BattlEye →

Vanguard

Trò chơi: Valorant

Cấp độ: Chế độ hạt nhân (tải khi khởi động Windows)

Các tính năng chính:

  • Bắt đầu khi khởi động hệ điều hành — không phải khi trò chơi khởi chạy m�� là khi máy tính bật
  • Yêu cầu Khởi động an toàn và TPM
  • Chặn các trình điều khiển dễ bị tấn công trước khi khởi chạy trò chơi
  • Giám sát hệ thống liên tục
  • Lệnh cấm ngay lập tức đối với các hành vi gian lận được phát hiện

Vanguard là phần mềm chống gian lận chính thống tích cực nhất. Khả năng tải khởi động sớm của nó khiến việc vượt qua khó khăn hơn đáng kể so với các đối thủ cạnh tranh. Hướng dẫn chi tiết về Vanguard →

Ricochet

Trò chơi: Call of Duty (Warzone, MW, BO6)

Cấp độ: Chế độ hạt nhân + phía máy chủ

Các tính năng chính:

  • Phía máy khách cấp hạt nhân trình điều khiển
  • Thành phần máy chủ có ML — máy học để phân tích hành vi
  • "Hình phạt" thay vì cấm ngay lập tức — có thể kích hoạt Lá chắn Thiệt hại, giảm khả năng phát hiện kẻ gian lận
  • Thay đổi phương pháp phát hiện mỗi mùa

Tính độc đáo của Ricochet nằm ở trọng tâm phía máy chủ. Ngay cả khi thành phần máy khách không phát hiện ra hành vi gian lận, phân tích máy chủ vẫn có thể xác định hành vi gian lận. Hướng dẫn chi tiết về Ricochet →

VAC (Valve Anti-Cheat)

Trò chơi: CS2, Team Fortress 2, Dota 2

Cấp độ: Chế độ người dùng

Các tính năng chính:

  • Chạy hoàn toàn ở chế độ người dùng (Ring) 3)
  • Quét chữ ký của các quy trình và mô-đun
  • Lệnh cấm theo làn sóng — thu thập dữ liệu một cách âm thầm, cấm hàng loạt tuần/tháng sau đó
  • Không có thành phần c���p hạt nhân nào

VAC có vẻ nhẹ nhàng hơn so với các đối thủ cạnh tranh, nhưng chiến lược "thu thập im lặng" của nó là lừa đảo: một trò gian lận có thể hoạt động trong nhiều tuần, sau đó làn sóng cấm sẽ ập đến. Được bổ sung bởi Overwatch (phân tích lượt chơi lại của người chơi) và VACNet (hệ thống ML dành cho CS2).

Người chống gian lận biết gì về hệ thống của bạn

Các phần mềm chống gian lận ở chế độ hạt nhân thu thập thông tin phong phú:

  • HWID — ổ đĩa, bo mạch chủ, card mạng, GPU, số nhận dạng RAM
  • Danh sách quy trình — tất cả đều đang chạy chương trình
  • Trình điều khiển đã tải — danh sách đầy đủ với các hàm băm
  • Các chương trình đã cài đặt — qua sổ đăng ký
  • Windows — danh sách các cửa sổ và thuộc tính của chúng
  • Kết nối mạng — các kết nối đang hoạt động

Thông tin này được gửi đến các máy chủ chống gian lận để phân tích. Đây chính xác là lý do tại sao Kẻ giả mạo HWID là một phần quan trọng của khả năng bảo vệ.

Sự phát triển: Từ chữ ký đến AI

Chống gian lận ngày càng thông minh hơn:

  • 2000s — quét chữ ký thuần túy, chế độ người dùng
  • những năm 2010 — chế độ hạt nhân trình điều khiển, mở rộng đo từ xa
  • những năm 2020 — máy học, phân tích hành vi, kiểm tra phía máy chủ, tải khởi động sớm

Xu hướng rất rõ ràng: phân tích hành vi phía máy chủ đang trở nên quan trọng hơn so với quét phía máy khách. Điều này có nghĩa là ngay cả một trò gian lận được che đậy hoàn hảo cũng có thể bị phát hiện thông qua lối chơi đáng ngờ. Đó là lý do tại sao hành vi đúng mực trong trò chơi cũng quan trọng như chất lượng của gian lận.

Điều này ảnh hưởng như thế nào đến việc lựa chọn gian lận

  • Chống gian lận ở chế độ người dùng (VAC) → ngay cả một gian lận đơn giản bên ngoài cũng có thể không bị phát hiện trong một thời gian dài
  • Chế độ hạt nhân không cần khởi động sớm (EAC, BattlEye) → yêu cầu gian lận cấp hạt nhân hoặc DMA
  • Chế độ hạt nhân khởi động sớm (Vanguard) → trường hợp khó nhất, DMA là lựa chọn đáng tin cậy nhất
  • Phân tích phía máy chủ (Ricochet) → khả năng không bị phát hiện về mặt kỹ thuật là chưa đủ; Cần phải có lối chơi hợp pháp

Tìm hiểu thêm về các loại gian lận và sự tương tác của chúng với tính năng chống gian lận: Cách hoạt động của gian lận.

Danh mục IVSOFTE — gian lận với trạng thái hiện tại cho mọi tính năng chống gian lận. Duyệt danh mục →