游戏作弊并不神奇——它们是技术上复杂的程序,在不同级别上与游戏过程进行交互。本文解释了作弊实际上是如何工作的:从基本内存读取到内核级驱动程序和硬件 DMA 解决方案。

基础知识:游戏如何存储数据

每个在线游戏都是一个在 RAM 中存储信息的程序:玩家位置、生命值、武器、物品、地图状态。游戏客户端从服务器接收这些数据并将其呈现在屏幕上。

作弊本质上会执行以下两种操作之一:

  • 读取内存 - 提取隐藏数据(墙后的敌人位置)并将其显示给您(ESP、雷达)
  • 写入内存 - 修改游戏行为(瞄准辅助、后坐力消除、速度变化)

作弊类型取决于如何访问此内存以及什么权限级别操作。

内部作弊 - 进程注入

它们如何工作

内部作弊将其代码 (DLL) 直接注入游戏进程。注入后,作弊代码在游戏中运行,就好像它是游戏的一部分一样 - 可以完全访问所有内存和函数。

注入过程:

  1. 加载程序在系统中找到游戏进程
  2. 在该进程内分配内存
  3. 将作弊代码(DLL)写入分配的内存
  4. 创建一个执行线程 - 作弊代码开始运行

优点

  • 完全访问 - 作弊者直接查看所有游戏数据,没有中间层
  • 最大功能 - 瞄准机器人、ESP、chams、triggerbot、无后坐力和任何修改
  • 高性能 - 没有外部存储器读取的开销
  • 游戏内渲染 - ESP 和菜单通过 DirectX/Vulkan 挂钩绘制,作为游戏的一部分出现

风险

反作弊扫描游戏的进程内存并可以检测外部代码。它还检查渲染挂钩、修改的函数和可疑的执行线程。这就是为什么内部作弊开发人员不断更新他们的规避方法。

外部作弊 - 从外部工作

工作原理

外部作弊是与游戏一起运行的单独进程。它通过系统 API(例如,Windows 上的 ReadProcessMemory)或自定义驱动程序“从外部”读取游戏内存。

为了显示信息,它使用覆盖层 - 放置在游戏顶部的透明窗口,在其中绘制 ESP 框、线条和其他元素。

覆盖层 - 它是什么

覆���层是位于游戏窗口上方的完全透明窗口。作弊在其上绘制视觉信息:玩家周围的方框、生命条、距离。对您来说,它看起来像是游戏的一部分,但从技术上讲,它是一个单独的窗口。

高级叠加使用旁路方法,因此反作弊程序无法检测到此窗口。

优点

  • 不会注入游戏 - 游戏进程内没有外来代码
  • 更容易更新 - 不依赖于游戏的内部渲染结构
  • 可以在游戏更新中生存 - 如果数据结构没有改变

限制

  • 功能较少 - 更难实现chams、triggerbot、渲染修改
  • 可以检测到覆盖 - 对游戏上放置的窗口进行反作弊检查
  • 外部内存读取 -反作弊监控对游戏进程内存的访问

内核级作弊 - 操作系统内核层

工作原理

内核级是操作系统中权限最高的层。常规程序在用户模式(环 3)中运行,而操作系统内核和驱动程序在内核模式(环 0)中运行。

内核级作弊将自定义驱动程序加载到 Windows 内核中。该驱动程序具有最大权限:

  • 可以读写系统中的任何内存
  • 可以隐藏进程和文件
  • 可以拦截系统调用
  • 与反作弊本身的操作级别相同

Ring 0 vs Ring 3

Intel和AMD处理器有“保护环”系统:

  • Ring 3(用户模式) — 常规程序、游戏、浏览器。有限的 访问
  • Ring 0(内核模式) - 操作系统内核、驱动程序、反作弊。完全访问所有内容

当反作弊程序在 Ring 0 中运行时(如 Vanguard 或 EAC),常规的 Ring 3 外部作弊行为很容易被检测到。内核级作弊与反作弊提升到同一级别,具有同等的能力。

驱动程序加载方法

  • 手动映射——将驱动程序加载到内核内存中,无需系统注册。在驱动程序列表中不留下任何痕迹
  • 易受攻击的驱动程序利用 (BYOVD) - 使用合法但易受攻击的第三方驱动程序来获取内核访问权限
  • 签名驱动程序 - 如果开发人员拥有代码签名证书(EV 证书),驱动程序将通过标准方式加载

为什么重要

内核级作弊可以:

  • 以用户模式扫描仪不可见的方式读取游戏内存
  • 隐藏其进程和文件以防止反作弊
  • 绕过内核完整性检查
  • 在反作弊启动之前运行

DMA - 硬件级别

DMA(直接内存访问)采用了一种根本不同的方法。 物理设备(PCIe 卡)不是基于软件的内存访问,而是直接通过 PCIe 总线读取游戏 PC 的 RAM。

数据会传输到运行作弊软件的第二台计算机。游戏电脑不运行任何外国软件——它只玩游戏。反作弊无法检测到作弊行为,因为该系统上根本不存在该作弊行为。

我们的文章中对 DMA 和软件作弊行为进行了详细比较:DMA 与软件作弊行为

宏 — 无内存访问

宏是与众不同的。它们不会读取或修改游戏内存。相反,它们会自动执行键盘和鼠标操作,例如,通过一系列鼠标的微移动来补偿武器后坐力。

宏在输入设备级别(鼠标、键盘)或通过软件模拟器工作。由于它们不与游戏过程交互,因此更难检测到 - 但一些反作弊软件会分析输入模式并识别不自然的行为。

作弊程序如何透过墙壁“看到”敌人

最常见的问题之一:ESP 如何显示屏幕上不可见的敌人?

游戏客户端知道特定半径内所有玩家的位置 - 服务器发送此数据进行声音计算,小地图,模型预加载。作弊只是从内存中提取这些坐标并将它们绘制在屏幕�� - 盒子、骨架、距离。

一些游戏使用服务器端可见性检查 - 服务器不会发送有关墙后玩家的数据。这使得 ESP 变得更加困难,但并非不可能 - 数据通常会在玩家可见之前稍微提前到达。

Aimbot 如何为您“瞄准”

Aimbot 知道敌人坐标(来自游戏内存)和您的十字线位置。它计算转动相机所需的角度,然后:

  • 将新角度写入游戏内存(内部瞄准机器人) - 即时但有风险
  • 模拟鼠标移动(外部瞄准机器人) - 更平滑,更难以检测
  • 通过 KmBox 发送输入(DMA 瞄准机器人) - 通过硬件输入模拟器

高级瞄准机器人添加了平滑FOV限制延迟以使动作看起来像人类。

比较表

类型��别功能安全复杂性
内部用户模式(环) 3)最大
外部用户模式(环3)ESP、雷达以上平均值
内核内核模式(环0)最大值
DMA硬件ESP、雷达、瞄准(带 KmBox)非常高非常高
输入设备无后坐力

选择什么

您的选择取决于优先级:

  • 最大功能 →内部或内核级
  • 功能与安全性的平衡 → 内核级或质量外部
  • 最大安全性DMA
  • 仅后坐力控制 → 宏

详细选择指南:如何选择作弊。功能描述(ESP、Aimbot、Wallhack):作弊功能指南

IVSOFTE 作弊目录 — 流行游戏的内部、外部、内核级和 DMA 作弊。 浏览目录→