Anti-Cheat

Kernel-Level Anti-Cheat

Wenn Anti-Cheat tief ins Betriebssystem greift. Riot Vanguard, EAC mit Kernel-Treiber, Hyperion und Co.

Was Kernel-Level bedeutet

Computer-Systeme haben verschiedene Privileg-Ebenen:

  • Ring 3 (User-Space): normale Anwendungen, eingeschränkt
  • Ring 0 (Kernel-Space): Betriebssystem-Kern, höchste Rechte

Kernel-Level Anti-Cheat läuft als Treiber im Ring 0 — mit vollem Zugriff auf das gesamte System.

Warum Kernel-Level?

Vorteile für Anti-Cheat

  • Kann jeden Speicherbereich lesen (auch versteckte)
  • Kann Cheats erkennen, die selbst im Kernel laufen
  • Schwerer zu umgehen
  • Bessere Performance bei System-Scans

Wieso es überhaupt nötig wurde

Cheats wurden zunehmend ausgeklügelter:

  • Cheats laufen selbst auf Kernel-Level
  • Verbergen sich vor User-Space-Anti-Cheat
  • Manipulieren Anti-Cheat-Treiber
  • User-Space-Anti-Cheat sieht nichts mehr

Folge: Anti-Cheat musste ebenfalls auf Kernel-Level, um auf „Augenhöhe“ zu sein.

Bekannte Kernel-Level Anti-Cheat-Systeme

Riot Vanguard

Bekanntestes Kernel-Anti-Cheat. Mehr in Anti-Cheat vs. Privatsphäre.

  • Spiele: Valorant, League of Legends (seit 2024)
  • Modus: Persistent (läuft 24/7)
  • Start: beim System-Start
  • Deinstallation: manuell über Systemsteuerung
  • Anwendung: sehr aggressiv, viele Cheats erkannt

EAC (mit Kernel-Treiber)

Easy Anti-Cheat hat optional Kernel-Treiber:

  • Standard-EAC läuft User-Space
  • Premium-Modus mit Kernel-Treiber möglich
  • Spiel-Entwickler wählt Konfiguration
  • Beispiele: Apex Legends, Fortnite

BattlEye

Hat einen Kernel-Treiber:

  • Läuft mit dem Spiel, bei Spiel-Ende beendet
  • Weniger persistent als Vanguard
  • Aber: System-Zugriff vorhanden

Hyperion (Activision)

Eigene Anti-Cheat-Lösung für Call of Duty:

  • Spiele: Call of Duty Modern Warfare 2/3, Warzone
  • Modus: Kernel-Level, beim Spielstart aktiv
  • Eingeführt: 2023
  • Erfolg: dramatische Reduktion der Cheater

Anti-Cheat Expert (ACE)

Tencent-Anti-Cheat-Lösung:

  • Spiele: PUBG Mobile, viele chinesische Spiele
  • Modus: Kernel-Level
  • In Westen: wenig dokumentiert, kontrovers

Wie Kernel-Anti-Cheat funktioniert

Installation

  1. Spiel-Installation läuft als Admin
  2. Treiber wird signiert und installiert
  3. Im System-Startverzeichnis registriert
  4. Beim System-Start automatisch geladen

Funktionsweise

  • Scannt System auf bekannte Cheat-Treiber
  • Prüft Spielspeicher auf Integrität
  • Erkennt Hooks und Modifikationen
  • Sendet Daten an Anbieter-Server
  • Bei Erkennung: Block des Spielstarts oder Live-Kick

Treiber-Signaturen

Windows verlangt für Kernel-Treiber:

  • Microsoft-zertifizierte Signatur
  • Treiber-Verifikation
  • Test-Mode-Erkennung

Das macht es Cheat-Anbietern schwerer, eigene Treiber zu signieren. Sie nutzen:

  • Geleakte Test-Zertifikate
  • Vulnerable signierte Treiber als Loader (BYOVD)
  • Treiber-Schwachstellen ausgenutzte

BYOVD — Bring Your Own Vulnerable Driver

Cheat-Anbieter nutzen bekannte Sicherheits-Schwachstellen in legitimen Treibern:

  1. Anbieter findet signierten Treiber mit Bug
  2. Installiert diesen Treiber
  3. Nutzt Bug, um eigenen Code auf Kernel-Level auszuführen
  4. Anti-Cheat-Treiber sind dann auf gleicher Ebene

Anti-Cheat reagiert mit BYOVD-Detection-Listen.

Risiken von Kernel-Anti-Cheat

Sicherheits-Risiken

  • Treiber-Bugs werden zu System-Schwachstellen
  • Beispiel: BadShark (Anti-Cheat-Treiber-Exploit)
  • Beispiel: Capcom Anti-Cheat Driver Vulnerability
  • Beispiel: nProtect GameGuard-Schwachstellen

System-Stabilität

  • Kernel-Bluescreens möglich
  • Konflikte mit Treibern
  • Inkompatibilitäten
  • Performance-Probleme

Privacy

  • Voller System-Zugriff
  • Telemetrie über alle Aktivitäten möglich
  • Daten-Sammlung intensiv

User-Reaktionen

Vanguard-Aufregung 2020

Bei Valorant-Release:

  • Tausende negative Reaktionen
  • „Spyware“-Vorwürfe
  • YouTube-Videos mit Warnungen
  • Manche Spieler boykottierten das Spiel

League of Legends 2024 Vanguard-Pflicht

Als LoL Vanguard-pflichtig wurde:

  • Diskussionen in LoL-Communities
  • Spieler-Migration zu anderen MOBAs
  • Riot blieb bei der Entscheidung
  • Cheaten-Reduktion war messbar

Wirksamkeit

Kernel-Anti-Cheat ist messbar wirksamer als User-Space-Lösungen:

  • Valorant gilt als eines der saubersten kompetitiven Spiele
  • Call of Duty mit Hyperion: deutlich weniger Cheater
  • Aber: nicht 100 % — DMA-Cheats und Computer-Vision wirken weiter

Bug-Bounty und Transparenz

Anbieter reagieren mit:

  • Bug-Bounty-Programme: bezahlen Forscher für gefundene Bugs
  • Riot Vanguard: bis 100.000 USD pro Bug
  • Transparenz-Reports
  • Code-Audits durch Dritte

Alternativen zu Kernel-Level

TPM-basierte Attestation

Hardware-Trusted-Platform-Module bestätigen System-Integrität:

  • Kein Software-Scanning nötig
  • Hardware-Wurzel des Vertrauens
  • Privacy-freundlich
  • Aber: Windows 11 / TPM 2.0 erforderlich

Cloud-Gaming

Bei Cloud-Gaming (GeForce Now, Xbox Cloud):

  • Spiel läuft auf Anbieter-Server
  • Cheating physisch unmöglich
  • Volle Anti-Cheat-Kontrolle
  • Aber: Latenz, Abhängigkeit

Was du tun kannst

Vor Spiel-Installation

  • Prüfen, ob Kernel-Anti-Cheat verwendet wird
  • Privacy-Policy lesen
  • Eigene Risiko-Toleranz bewerten

Nach Installation

  • System updates aktuell halten
  • Anti-Cheat-Software regelmäßig aktualisieren
  • Verdächtige Aktivitäten beobachten

Bei Nicht-Nutzung des Spiels

  • Spiel UND Anti-Cheat deinstallieren
  • Treiber-Reste manuell entfernen
  • Driver-View-Tools nutzen (Autoruns, Sysinternals)

Zukunft 2026+

Trends:

  • Kernel-Anti-Cheat wird Standard für kompetitive Spiele
  • TPM-basierte Hardware-Attestation ergänzend
  • Cloud-Gaming als Alternative
  • Regulatorischer Druck auf Anbieter (DSGVO, EU AI Act)

IT-Praxis und Web-Entwicklung

Wer sich für die Technik hinter Cheats interessiert, ist oft auch an IT-Sicherheit und Web-Entwicklung interessiert. SEO NW hilft seit 2012.

SEO NW Agentur