要了解作弊行为的运作方式,您需要了解他们的对手 - 反作弊。现代保护系统是同时在多个级别上运行的复杂软件套件。让我们从内部分解一下它们的工作原理。

两个操作级别:用户模式和内核模式

所有反作弊程序都可以按其权限级别进行分类。

用户模式反作弊程序

与常规程序在同一级别运行(环 3)。他们可以:

  • 扫���进程 - 通过签名(文件哈希、内存字符串)搜索已知作弊
  • 检查文件完整性 - 将游戏文件校验和与参考值进行比较
  • 监控内存访问 - 跟踪哪些进程读取游戏内存
  • 检查窗口 - 搜索放置在游戏

限制:用户模式反作弊无法看到内核中发生的情况。内核级作弊可以完全隐藏这样的扫描器。

内核模式反作弊

在操作系统内核级别(Ring 0)运行 - 与设备驱动程序运行的级别相同。这为它们提供了几乎无限的功能:

  • 完整内存访问 - 包括可能隐藏作弊的内核内存
  • 系统调用拦截 - 跟踪所有内存、文件和注册表访问
  • 驱动程序检查 - 查找未经授权或易受攻击的驱动程序
  • 游戏前监控 - Windows启动时的某些负载
  • 隐藏进程检测 - 即使作弊隐藏其进程,内核模式反作弊也可以找到它

内核模式反作弊包括:Vanguard(Valorant)、EAC(Easy Anti-Cheat)、BattlEyeRicochet(使命召唤)。

核心检测方法

1.签名扫描

最古老、最基本的方法。反作弊程序维护一个签名数据库——已知作弊行为的独特字节序列特征。在扫描过程中,它会在以下位置搜索匹配项:

  • 加载的模块和 DLL
  • 游戏进程内存
  • 磁盘上的文件
  • 内核驱动程序

绕过:欺骗开发人员在每次更新时混淆代码(更改签名)。这就是为什么进入签名数据库的作弊者会获得已检测状态 - 反作弊者知道他们独特的“指纹”。

2.内存监控

反作弊跟踪哪些进程和驱动程序访问游戏内存:

  • API 挂钩 - 拦截 ReadProcessMemoryWriteProcessMemory
  • 内存页面保护 - 在关键游戏内存区域设置特殊标志
  • 回调通知 - 注册通知新进程创建、线程创建、模块加载

3.完整性检查

反作弊验证游戏代码和资源未被修改:

  • 代码部分哈希 - 与参考值比较的可执行部分校验和
  • 挂钩检测 - 搜索修改后的函数(不应存在的 jmp/call 指令)
  • IAT/EAT 检查 - 导入/导出表必须不包含替换

4。驱动程序验证

内核模式反作弊控制系统驱动程序:

  • 白名单/黑名单 - 通过哈希或签名允许和禁止驱动程序
  • 签名验证 - Windows 需要签名才能加载驱动程序(安全启动 + DSE)。作弊通过易受攻击的签名驱动程序 (BYOVD) 或映射来绕过此问题
  • 映射驱动程序检测 - 在内核中搜索未注册为合法驱动程��的代码

5。行为分析

现代反作弊不仅仅是扫描 - 他们分析玩家行为

  • 统计异常 - 不人道的爆头百分比、完美的穿墙追踪
  • 输入分析 - 鼠标移动模式、反应速度、击键均匀性
  • 服务器端检查 - 服务器将玩家的行为与他们的行为进行比较“应该看到”(敌人可见性、反应时间)
  • 机器学习 - 一些反作弊 (Ricochet) 使用 ML 模型来 识别非典型行为

行为分析是为什么即使是未检测到的作弊,如果使用过于激进,也可能导致禁令。

主要反作弊:详细信息

简单反作弊 (EAC)

游戏: Fortnite、Apex Legends、Rust、EFT Arena、Dead by Daylight、The决赛,狩猎:对决

级别:内核模式

主要功能:

  • 随着游戏启动而加载内核组件
  • 积极的内核内存扫描
  • 频繁的签名数据库更新
  • 系统遥测收集
  • 游戏文件完整性验证

EAC是最广泛使用的一种反作弊。它的优势在于更新频率:定期添加新签名,这让作弊开发者的日子变得更加艰难。 详细的 EAC 指南 →

BattleEye

游戏:逃离塔科夫、彩虹六号围攻、PUBG、DayZ、Arma 3、Unturned

关卡:内核模式

按键功能:

  • 具有深度访问的内核驱动程序
  • 主动用户模式和内核模式扫描
  • 服务器端启发式 - 服务器端行为分析
  • 易受攻击的驱动程序黑名单
  • Wave 禁止和即时禁止系统

BattlEye 因积极的客户端工作而闻名 - 它深入检查系统并使用大量回调进行监控。 详细的 BattlEye 指南 →

Vanguard

游戏: Valorant

级别: 内核模式(在 Windows 启动时加载)

主要功能:

  • 在操作系统启动时启动 - 不是在游戏启动时,而是在计算机开启时
  • 需要安全启动和 TPM
  • 在游戏启动前阻止易受攻击的驱动程序
  • 持续监控系统
  • 立即禁止检测到的作弊行为

Vanguard 是最积极的主流反作弊软件。它的早期启动加载使得绕过比竞争对手更加困难。 详细的 Vanguard 指南 →

Ricochet

游戏: 使命召唤(Warzone、MW、BO6)

级别: 内核模式 + 服务器端

主要功能:

  • 内核级别客户端驱动程序
  • 具有 ML 的服务器组件 - 用于行为分析的机器学习
  • “惩罚”而不是即时禁令 - 可以激活伤害护盾,减少作弊者的可见性
  • 每个季节更改检测方法

Ricochet 的独特性在于其服务器端重点。即使客户端组件没有检测到作弊行为,服务器分析也可以通过行为识别作弊者。 详细的跳弹指南 →

VAC(Valve Anti-Cheat)

游戏: CS2、军团要塞 2、Dota 2

级别: 用户模式

按键特点:

  • 完全在用户模式下运行(环 3)
  • 对进程和模块进行签名扫描
  • Wave 禁令 - 静默收集数据,几周/几个月后集体禁止
  • 没有内核级组件

VAC 看起来比竞争对手更软,但其“静默收集”策略具有欺骗性:作弊可能会起作用几周后,禁令浪潮袭来。辅以守望先锋(玩家回放分析)和 VACNet(CS2 的 ML 系统)。

反作弊程序了解您的系统哪些信息

内核模式反作弊程序收集大量信息:

  • HWID — 磁盘、主板、网卡、GPU、RAM 标识符
  • 进程列表 — 所有运行程序
  • 加载的驱动程序 - 包含哈希值的完整列表
  • 安装的程序 - 通过注册表
  • Windows - 窗口及其属性列表
  • 网络连接 - 活动连接

此信息将发送到反作弊服务器进行分析。这正是为什么 HWID 欺骗 是保护的关键部分。

演变:从签名到 AI

反作弊变得更加智能:

  • 2000 秒 - 纯粹的签名扫描,用户模式
  • 2010s - 内核模式驱动程序,扩展 遥测
  • 2020年代 - 机器学习、行为分析、服务器端检查、早期启动加载

趋势很明显:服务器端行为分析变得比客户端扫描更加重要。这意味着即使是完美掩盖的作弊行为也可能通过可疑的游戏玩法被发现。这就是为什么正确的游戏内行为与作弊质量同样重要。

这如何影响作弊选择

  • 用户模式反作弊 (VAC) → 即使是简单的外部作弊也可能在很长一段时间内未被检测到
  • 无需提前启动的内核模式(EAC、BattlEye) → 需要内核级作弊或 DMA
  • 早期启动的内核模式 (Vanguard) → 最困难的情况,DMA 是最可靠的选择
  • 服务器端分析 (Ricochet) → 技术上的不可检测性还不够;合法的游戏玩法是必要的

有关作弊类型及其与反作弊相互作用的更多信息:作弊工作原理

IVSOFTE Catalog - 作弊以及每个反作弊的当前状态。 浏览目录→