Античит-системы играют ключевую роль в обеспечении честной игры и поддержании игрового баланса в онлайн-играх. С развитием технологий разработчики ЧИТОВ и обходных методов, производители античитов вынуждены постоянно адаптироваться, выпускают обновления и патчи. Отслеживание таких обновлений позволяет исследователям, специалистам по безопасности и игровому сообществу понимать, какие изменения были внесены, когда вышел новый релиз и как работают различные механизмы защиты. В данной статье подробно рассматриваются ведущие античит-системы, их методы обновления и способы мониторинга этих процессов, а также общие закономерности и сложности, сопровождающие их изучение. Одним из наиболее распространённых и продвинутых решений на рынке является EasyAntiCheat, который используется в популярных играх как Rust, Fortnite и Apex Legends.
До момента приобретения Epic Games, EasyAntiCheat распространял обновления через собственную CDN, где загрузка осуществлялась по уникальным URL, включающим идентификаторы игр и целевые платформы. После перехода под крыло Epic Games был внедрён иной CDN с изменённой структурой URL, использующий уникальные параметры продукта и деплоймента. Особенность этого подхода в том, что при скачивании модуля получается файл с высоким энтропийным показателем, что указывает на сжатие или шифрование. Для анализа подобного файла требуется использование специальных методик декодирования и распаковки. Нередко бинарные файлы защищены средствами вроде VMProtect, что усложняет прямое чтение кода и данных.
В таких случаях для распаковки модуля применяют нативное выполнение через функции ОС, например, LoadLibraryA, после чего исследуют содержимое и вычленяют драйверные и пользовательские компоненты, сохраняя известные паттерны шифрования. Battleye является ещё одним популярным античитом, преимущественно ориентированным на выявление известных чит-провайдеров и реализующим контроль через простейшие сигнатуры. В отличие от EasyAntiCheat, Battleye использует более упрощённый CDN, где последняя версия определяется по unix-таймштампу и доступна для загрузки напрямую по URL. Интересно, что в скачиваемом бинарном файле могут присутствовать посторонние данные перед идущим позже PE-модулем, что требует дополнительной обработки файла для выделения полезной части. Аналогично EasyAntiCheat, драйверы и внутренние модули нужно извлекать путём поиска специфических заголовков и последующей расшифровки.
Electronic Arts Anti-Cheat, относительно молодая система, характеризуется использованием стандартных установщиков с возможностью распаковки через архиваторы типа 7z. Однако драйверы в последних версиях не поставляются напрямую с инсталлятором, что предполагает необходимость динамического захвата или обратного инжиниринга процесса скачивания в процессе игры. В этом отношении наблюдается тенденция к усложнению распространения компонентов с целью повышения безопасности и затруднения анализа. Vanguard от Riot Games, античит для Valorant и League of Legends, выделяется наличием открытого API, через который можно получать актуальные данные о версиях и ссылках для загрузки компонентов. Наличие такой публичной информации значительно облегчает мониторинг обновлений и анализ релизов, позволяя без особых препятствий получить и изучить драйверные и пользовательские модули.
Среди прочих решений стоит упомянуть EQU8 — античит для Splitgate, который, хоть и менее сложен технически, предоставляет стандартный JSON API для получения списка компонентов и ссылок на обновления. FACEIT, используемый в приватных лигах, известных по Counter-Strike и League of Legends, отличается высокой степенью скрытности, оставляя меньше информации для публичного анализа. ESEA же требует авторизации и нередко дополнена капчей, что значительно осложняет автоматизированный сбор данных об обновлениях. Рассматривая общий ландшафт, впечатляет разница в подходах к обновлению и защите античитов. Несмотря на различные степени сложности и запутанности CDN и механизмов распространения, на практике эти меры более служат сдерживающим фактором для исследователей, нежели абсолютной защитой от извлечения данных.
Основная цель античитов заключается в защите процессов выявления и мониторинга читов непосредственно во время исполнения, а не в создании полностью непроницаемой инфраструктуры доставки обновлений. Отслеживание новых версий и анализа изменений – задача, требующая владения навыками реверс-инжиниринга, знания низкоуровневых механизмов ОС, а также понимания сетевых протоколов и схем распространения данных. Для исследователей важно понимать, что сложности с доступом к исходным файлам антикрипта являются частью стратегии замедления обхода системы, а не ее полной защитой. Исследование и публикация подобных данных позволяет поддерживать баланс между интересами разработчиков игр и правами игроков, а также способствует развитию коллективного опыта в области кибербезопасности и борьбы с нечестной игрой. В итоге, актуальные методы отслеживания обновлений античит-систем отличаются по уровню открытости, сложности и используемым технологиям, но объединены общей философией — защита от читеров путем повышения стоимости и трудоёмкости обхода.
Каждая из рассмотренных систем предлагает свои уникальные технические решения и способы обфускации, что открывает широкое поле для изучения, инноваций и обмена знаниями среди специалистов в сфере игровой безопасности.
