HyperAntiCheat: phát hiện với bằng chứng, không phải mẫu
HyperAntiCheat là cách tiếp cận mới với anticheat được xây dựng trên một nguyên tắc: mỗi lệnh cấm phải có bằng chứng pháp y cụ thể. Đây là cách chúng tôi phát hiện cheat mà người khác bỏ lỡ, nhanh chóng, với không false positive nào.
TL;DR
- Mỗi lệnh cấm HyperAntiCheat được hỗ trợ bởi bằng chứng pháp y cụ thể: một đoạn mã, một hiện vật bộ nhớ, hoặc một sự trùng khớp chữ ký duy nhất. Không bao giờ là một phỏng đoán thống kê.
- Chúng tôi bắt các loại cheat mà các ông lớn chậm phát hiện, bao gồm cheat DMA phần cứng, kẻ thao túng kernel stealth, và các biến thể process hollowing.
- Chúng tôi từ chối sử dụng scoring hành vi hoặc nhận dạng mẫu, vì vậy tỷ lệ false positive của chúng tôi về mặt cấu trúc là không.
Một tiêu chuẩn mới cho anticheat
HyperAntiCheat được xây dựng trên một nguyên tắc: mỗi lệnh cấm phải có bằng chứng cụ thể. Không phải một điểm số hành vi, không phải một mẫu thống kê, không phải một phần trăm trên một ngưỡng nào đó. Bằng chứng pháp y thực sự, được trích xuất trực tiếp từ tiến trình của người chơi vào thời điểm phát hiện. Chúng tôi tin rằng đây là cách tiếp cận bền vững duy nhất với anticheat, và chúng tôi đã xây dựng toàn bộ sản phẩm xung quanh nguyên tắc này ngay từ ngày đầu tiên.
Phát hiện với bằng chứng cụ thể
Đối với mỗi lệnh cấm mà HyperAntiCheat đưa ra, chúng tôi có thể trao cho nhà phát triển một bằng chứng không thể chối cãi. Các loại chúng tôi phát hiện đều là hiện vật pháp y tồn tại trong tiến trình của người chơi vào thời điểm phát hiện: inline hooks trên API game và hệ thống, sửa đổi bộ nhớ bên ngoài các vùng được phép, chữ ký cheat kernel-mode và usermode, chữ ký cheat DMA và hỗ trợ phần cứng, exploit primitives trong các module lạ và debugger được đính kèm. Mỗi một trong số đó là một thứ cụ thể mà chúng tôi có thể chỉ ra, tái tạo và kiểm toán. Không phải suy luận, không phải tương quan, không phải phỏng đoán.
Phát hiện những gì anticheat truyền thống bỏ lỡ
Phần lớn hệ sinh thái cheat hiện đại được thiết kế đặc biệt để tránh các anticheat hiện có. Cheat DMA phần cứng chạy trên một thẻ PCIe riêng biệt và không bao giờ chạm vào bộ nhớ game từ bên trong tiến trình game. Kẻ thao túng kernel stealth tải sau driver anticheat và che giấu dấu chân của chúng. Các biến thể process hollowing biến đổi giữa các phiên. Cheat đọc bộ nhớ game qua kênh phần cứng và không bao giờ trông đáng ngờ đối với một bộ phân loại hành vi. HyperAntiCheat được xây dựng ngay từ ngày đầu tiên để bắt các loại cheat này. Bộ quét của chúng tôi nhìn vào trạng thái pháp y của tiến trình người chơi ở nhiều lớp, từ các cờ bảo vệ bộ nhớ và nội dung trang đến các vị trí hook, địa chỉ cơ sở của module không xác định và liệt kê thiết bị, và đánh dấu bất kỳ hiện vật cụ thể nào không nên ở đó.
Một pipeline phân tích cheat nhanh
Đằng sau HyperAntiCheat là một đội ngũ reverse engineer với nhiều năm kinh nghiệm mổ xẻ cheat thương mại và riêng tư. Chúng tôi đã xây dựng công cụ phân tích của riêng mình từ đầu: unpacker, forensics bộ nhớ, tracer hành vi và pipeline tạo chữ ký. Khi một cheat mới xuất hiện, chúng tôi lấy mẫu, mổ xẻ nó, trích xuất chữ ký nhận dạng duy nhất dấu vết của nó, và phát hành phát hiện, nhanh chóng. Tốc độ quan trọng: mỗi giờ một cheat mới chạy không bị phát hiện là một lobby bị hủy hoại khác, một đánh giá bị mất khác, một khách hàng bị mất khác.
Không false positive, theo thiết kế
Bởi vì chúng tôi chỉ ban với bằng chứng cụ thể, một false positive về mặt cấu trúc là không thể. Chúng tôi cố ý từ chối sử dụng nhận dạng mẫu hành vi, phân tích chuyển động chuột, heuristics thời gian bàn phím, hoặc bất kỳ scoring thống kê nào. Các phương pháp này mang theo rủi ro false positive vốn có: một người chơi khuyết tật sử dụng phần cứng nhập chuyên biệt, một con chuột lỗi tự double-click, một bàn phím với debounce bất thường, một trackball cũ, một game thủ chuyên nghiệp với phản xạ ở đỉnh đường cong, bất kỳ ai trong số đó đều có thể kích hoạt một bộ phân loại hành vi. Tại HyperAntiCheat, false positive không phải là rủi ro có thể chấp nhận được. Chúng không bao giờ được chấp nhận. Một lệnh cấm false positive duy nhất là một yêu cầu hoàn tiền, một đánh giá tiêu cực, và khi người chơi bị cấm có khuyết tật hoặc tình trạng y tế, đó là một rủi ro pháp lý thực sự. Đó là ranh giới mà chúng tôi từ chối vượt qua.
Điều này có nghĩa là gì với người chơi và studio của bạn
Người chơi hợp pháp không bao giờ đối mặt với các lệnh cấm không hợp lý. Cheater đối mặt với bằng chứng cụ thể, không thể chối cãi. Cộng đồng của bạn vẫn khỏe mạnh. Điểm đánh giá của bạn vẫn tích cực. Đường cong giữ chân của bạn vẫn giữ. Bạn phát hành bản cập nhật mà không lo anticheat sẽ báo false positive về cơ chế di chuyển mới hoặc animation vũ khí mới của bạn. Và bạn trả một phần nhỏ của những gì các ông lớn tính phí.
Điểm mấu chốt
Anticheat hành vi và dựa trên mẫu mang theo một sự đánh đổi cấu trúc: false positive hoặc false negative, chọn thuốc độc của bạn. HyperAntiCheat từ chối sự đánh đổi. Mỗi phát hiện đều là pháp y. Mỗi lệnh cấm đều có bằng chứng. Đó là sự đổi mới của chúng tôi, đó là tiêu chuẩn của chúng tôi, và đó là lý do tại sao các studio quan tâm đến người chơi của họ chọn HyperAntiCheat.