Arc Raiders
PUBG
Russian Fishing 4
PUBG Black Budget
Fortnite
War Tundra
Battlefield 6
Minecraft
Roblox
Valorant
Path of Exile 2
Standoff 2
Active Matter
Arma Reforger
Arma 3
Neural Cheat
Dead by Daylight
Foxhole
Delta Force Mobile
Dune Awakening
PUBG Mobile
Squad
Rainbow Six Siege
Unturned
Dota 2
Deadside
Stella Sora
Arknights: Endfield
Honkai Star Rail
Blue Archive
Zenless Zone Zero
Neverness to Everness
Meccha Chameleon
Marathon
Sea of Thieves
Path of Exile游戏中的作弊:这是什么以及它们如何工作
什么是作弊:简单说明
作弊是一种程序或设备,它给在线游戏中的玩家不公平的优势。穿过墙壁看到敌人、自动射击头部、飞过纹理、加速两倍 - 这一切都是作弊的工作。
任何作弊程序的底层有两种方法之一:读取游戏内存(找到玩家坐标、血量、摄像机角度)或直接干扰其操作 - 为玩家移动光标、改变变量值、向服务器发送虚假数据包。
竞技射击游戏和MMO游戏最受作弊者的困扰:CS2、Valorant、Rust、Apex、PUBG、Escape from Tarkov、DayZ。单人游戏中也存在作弊,但那里更像是模组 - 对任何人都没有影响。
接下来,按顺序:作弊实际上能做什么、它们的内部结构如何、谁与它们对抗以及用户面临的风险。
作弊功能:功能解析
作弊有许多名称和缩写。以下是在论坛描述或商店中最常见的名称。
WH(Wallhack, ESP)。叠加框、生命值条和玩家名称。允许您通过墙壁看到敌人和掉落物品。
Aimbot。自动瞄准敌人的头部或身体。质量好的作弊工具有平滑度调整和视场设置 - 看起来合法。
Triggerbot。不移动鼠标,但当准星已经对准敌人时自动射击。
Silent aim。你射空了,但子弹击中对手。视觉上没有什么可疑的。
Radar。显示敌人位置的迷你地图。主要由DMA用户使用。
Chams。通过墙壁用明亮的塑料突出敌人模型。比ESP更好,因为替换了模型本身 - 但更明显(在视频、直播、屏幕截图等中可见)。
Bunnyhop。与玩家一起跳跃以保持最大速度。经典的Source游戏特性。
No recoil, no spread。消除武器后坐力和子弹散布。
Speedhack。增加游戏速度或玩家速度。
Fly和Noclip。飞行和穿过墙壁。在开放世界中最有用 - Rust、DayZ。
Backtrack。使用服务器延迟补偿。你射向敌人200毫秒前所在的位置,它计为命中。
单个作弊工具通常一次结合多个这样的功能。接下来,我们将讨论内部架构:作弊工具如何物理上连接到游戏来执行所有这些操作。
Первый тип: External - Внешний чит
外部作弊是一个独立的程序,通常是一个EXE文件,它在游戏旁边运行而不是在游戏内部运行。它从外部使用标准Windows功能读取游戏内存。
它的工作原理。作弊工具调用OpenProcess来访问游戏进程。然后它使用ReadProcessMemory读取玩家坐标、血量和摄像机角度。在上面,它绘制自己的透明覆盖窗口 - 显示框和生命值。如果需要aimbot,鼠标通过SetCursorPos或虚拟HID移动。
⚠️ 这是最简单的解释。在这种纯粹的形式中,该方法在99%的情况下会导致封禁 - 你需要绕过方法和驱动程序工作。
优点。不会进入游戏,所以反作弊用标准方法更难检测它。开发更简单 - 如果出了问题,游戏不会崩溃。
缺点。缓慢:每次内存读取都是单独的内核调用。现代反作弊如EAC或Vanguard将简单地通过内核回调切断读取权限:你的OpenProcess返回句柄,但没有读取功能。就这样,作弊工具死了。
也需要优化 - 否则ESP会开始卡顿和延迟。经典的外部作弊问题。
第二种类型:Internal - 内部作弊
内部作弊隐藏在游戏本身内部。特殊的注入器程序将包含作弊代码的DLL注入到游戏进程中。之后,作弊代码与游戏共享内存,并直接与其一起工作,不需要进行不必要的Windows调用。
如何注入DLL。最简单的方法是CreateRemoteThread与LoadLibrary配对。在游戏中创建一个新线程,它自己加载DLL。它有效,但DLL出现在模块列表中,很容易被检测到。更严肃的方法使用手动映射:注入器本身解析DLL PE文件,将其部分放在内存中,并解析导入。从 Windows的角度来看,这样的模块没有正式加载 - 它不在列表中。
作弊可以在内部做什么。挂钩游戏本身中的函数。例如,拦截DirectX的Present调用并注入自己的渲染 - ESP直接通过游戏引擎渲染,不需要外部窗口。或修补游戏代码字节:禁用后坐力检查、散布,甚至死亡的能力。
优点。速度 - 读取内存时没有内核切换。与游戏完美同步:aim-smoothing看起来像人类,因为它与帧同步移动。加上对引擎内部API的访问 - 你可以调用GetPlayerByIndex或TraceLine之类的函数。
缺点。注入是最明显的动作。内核反作弊立即看到任何新模块。甚至手动映射也通过内部内存计数检查可见:没有对应磁盘文件的可执行内存块是注入的明确迹象。加上作弊内部的任何错误都会导致整个游戏崩溃。
第三种类型:Kernel - 通过Windows内核工作的作弊
内核是操作系统的核心级别。在那里运行的所有内容都具有比普通应用程序更高的权限,通常无法从用户模式读取。
内核作弊的想法。不是编写程序,而是编写Windows驱动程序。驱动程序在最特权的级别运行,可以访问任何进程的内存、绕过用户模式反作弊检查并隐藏自己。
问题。要在Windows中加载驱动程序,你需要来自Microsoft的数字签名。你可以购买它,但很昂贵,任何具有已知签名的作弊都会立即被封禁。
解决方案 - BYOVD(自带脆弱驱动程序)。“带上你自己有漏洞的驱动程序”。他们拿一个合法的签名驱动程序(通常来自Dell、ASUS、MSI或某个Intel实用程序),其中有一个已知的错误。通过这个错误,作弊可以读取和写入内核内存,而无需加载自己的代码。
他们如何被抓住。Microsoft维护一个脆弱驱动程序列表,并通过Windows Update分发它。Vanguard更进一步,维护自己的白名单 - 此列表之外的任何驱动程序都意味着游戏根本无法启动。还有PatchGuard:一个Windows机制,定期检查内核完整性 - 如果作弊在那里修补了什么,系统会出现蓝屏。在现代系统上,有HVCI,它要求所有内核代码都必须在虚拟机管理程序级别签名。
这就是为什么内核作弊现在是私有付费项目的领域。免费的内核作弊保证要么已经死了,要么实际上是捆绑的恶意软件。
DMA和AI Vision
DMA。当作弊是硬件时
作弊的顶峰。不是程序,而是物理卡。安装在第二台计算机的PCIe插槽中,USB3电缆在两台PC之间延伸。
它如何读取游戏PC内存。该卡使用直接内存访问 - 一种合法的PCIe功能,其中设备可以绕过处理器和操作系统读写计算机的工作内存。卡本身上是一个FPGA芯片,程序有基于开源PCILeech项目的特殊固件。
在此期间,游戏PC看起来完全干净:游戏未被触及、没有打开进程、没有注入或挂钩。所有计算(ESP、aim)都由第二台PC完成。
如何显示和控制:
雷达。带有地图方案和敌人位置的第二个显示器。你自己瞄准,但知道每个人在哪里。
Overlay。图像通过Fuser从游戏PC传输到第二台PC,在那里敌人框被绘制在其上方。
Aimbot。第二台PC计算将瞄准移动到哪里,并通过Kmbox / makcu / Arduino / ferrum等发送命令。这些设备为游戏PC仿真常规USB鼠标。
为什么它排名靠前。游戏PC只看到常规USB鼠标,好像玩家自己在移动它。它上面没有作弊代码。标准反作弊对DMA不可见 - 反之亦然。
他们如何2026年仍然被抓住。反作弊扫描所有PCIe设备,并将其标识符(供应商ID、设备ID、配置空间)与已知硬件数据库进行匹配。DMA卡尝试伪装成类似"Realtek NIC"的东西,但无法伪造所有特征。在现代系统上,有IOMMU(Intel VT-d、AMD-Vi),它可以阻止来自未知设备的DMA。
价格。简单的中国CaptainDMA - 从$100起,顶级选项 - 从$300起。加上第二台PC、Fuser、Makcu、固件。完整设置通常花费$500-$2000。
AI Vision。当作弊根本不碰游戏时
一种新的、对反作弊非常有问题的方法:作弊根本不碰游戏。它以与你相同的方式监视屏幕。
它的工作原理。屏幕截图工具捕获屏幕帧(或PS5/Xbox控制台的单独捕获卡)。该帧通过YOLO神经网络(或其类似物)传递,该网络经过训练可识别特定游戏中的玩家模型。神经网络输出像素中的敌人坐标,aimbot通过Arduino/Makcu将这些像素转换为鼠标移动角度。
为什么它对反作弊来说是个头痛问题。游戏未被触及,内核反作弊看不到任何可疑之处。它甚至可以在以前几乎不可能作弊的游戏机上工作。检测只能通过行为:反应过快、完美的快速瞄准、无错的射击。
HWID封禁与欺骗器
当玩家被抓到时,可以有不同程度的封禁方式,从轻到重:
账号封禁。最轻的一种。注册一个新账号——就能重新游戏。
IP封禁。同样很弱:每月花几美元买个VPN就能解决。
HWID封禁(硬件ID)。你硬件的独特指纹:主板序列号、网卡MAC地址、硬盘序列号、显卡ID、BIOS UUID。封禁绑定的是电脑本身,而不是账号。换新账号没用——反作弊系统能识别出同一台机器。
如何绕过HWID封禁。一种叫做欺骗器(spoofer)的程序。通常是一个内核驱动程序,拦截系统请求(WMI、SetupAPI),并向反作弊系统返回虚假的序列号。部分欺骗器会直接修改注册表和NVRAM中的真实数值。
风险与总结
作弊即使本身是免费的,也不是没有代价的。可能发生以下情况:
恶意软件。从无名网站下载了免费作弊器,结果附带了窃密程序。导致Steam账号、Discord令牌、浏览器Cookie被盗。运行他人的代码前,务必先检查是否含有恶意软件。
HWID封禁。烧掉的不只是账号。有些游戏(EAC、BattlEye)会按硬件封禁——换新账号没用,只有欺骗器能救你。
Rootkit风险。内核作弊和HWID欺骗器都需要ring 0权限。糟糕的驱动程序可能导致系统崩溃。
封禁潮(Ban wave)。反作弊系统通常会积累检测结果,然后一次性集中封禁——每1到3个月一次。一次封禁潮就能让同一款作弊器的成千上万用户遭殃。订阅费用当然是不会退还的。
反作弊系统。站在对面的是谁
作弊与反作弊是一场持续不断的军备竞赛。反作弊程序运行在你自己的电脑上,监视游戏进程。它有三个防护层级:
服务器端(Server-side)。观察玩家的数据统计:过于完美的爆头、不可能的移动、隔墙射击。运行在服务器上。例如Steam的VAC、FairFight。
用户模式(User-mode)。被注入到游戏本身的DLL。扫描进程内存,寻找可疑模块,钩取Windows API。
内核模式(Kernel-mode)。位于Windows系统文件夹中的驱动程序(.sys文件)。监控进程、线程的创建和DLL的加载,遍历内部内存结构,枚举PCIe设备以寻找DMA卡。这是最高级别。
知名的内核级反作弊系统:
Riot的Vanguard(Valorant、League of Legends)。在Windows启动时就加载,先于其他一切。需要TPM 2.0和安全启动(Secure Boot)。是最激进的一个。
BattlEye。用于Rust、PUBG、ArmA。与游戏一同加载。
Epic Games的Easy Anti-Cheat(EAC)。用于Fortnite、Apex Legends、Elden Ring。同样是内核级别。
使命召唤的Ricochet,Roblox的Hyperion。
反作弊系统针对每种作弊类型的对策:
外部作弊(External):通过内核回调切断游戏内存的读取权限。
内部作弊(Internal):立即发现任何新加载的DLL,通过内存分析捕捉手动映射。
内核作弊(Kernel):使用驱动程序白名单对抗BYOVD、PatchGuard、HVCI。
DMA:枚举PCIe设备并与已知硬件数据库比对,使用IOMMU。
AI Vision:只能通过服务器端的数据统计来检测。
Vanguard被认为是最强的。由于其TPM 2.0和安全启动的要求,它甚至会拒绝在未满足条件的系统上运行游戏。