Античит в Rust — как EAC ловит читеров и почему не всех

Что такое EAC и зачем он нужен

В Rust с 2016 года стоит Easy Anti-Cheat (EAC) от Epic Games. Запускается вместе с игрой, работает на уровне ядра Windows (kernel-level) — видит процессы, драйверы и память. Обычная программа такого доступа не получит, а EAC получает.

EAC ищет софт, который лезет в процесс игры: читает память, инжектит код, подменяет текстуры, перехватывает системные вызовы. Если находит что-то подозрительное — отправляет данные к себе на сервер. Блокировка приходит не сразу, иногда через часы или даже дни.

Методы обнаружения — как EAC ищет читы

Сигнатурный анализ — самый базовый метод. EAC хранит базу «отпечатков» известных читов: хеши файлов, паттерны кода в памяти, характерные имена процессов. Если софт попал в эту базу — его обнаружат при следующем сканировании. Паблик-читы попадают в базу быстро, приватные — значительно медленнее из-за малого числа пользователей.

Поведенческий анализ отслеживает аномалии в игровом процессе. Если игрок стабильно попадает в голову на запредельной дистанции или его прицел резко дёргается между целями — это поведенческий маркер. Система не блокирует сразу, но помечает аккаунт для ручной проверки.

Анализ памяти — EAC периодически сканирует оперативную память процесса игры. Он ищет инжектированный код, подозрительные модули, изменённые структуры данных. External-читы, работающие вне процесса игры, сложнее обнаружить этим методом.

HWID-трекинг — EAC собирает аппаратные идентификаторы компьютера и привязывает их к аккаунту. При обнаружении чита блокируется не только аккаунт, но и железо. Для обхода используют HWID-спуферы.

Почему приватные читы сложнее обнаружить

Сигнатурный анализ работает по базе знаний. Чтобы добавить чит в базу, EAC должен получить его образец — купить, скачать из утечки или получить от разработчика по программе баунти. У приватного чита с лимитом в 30-50 слотов шанс утечки минимален.

Каждая копия приватного чита может иметь уникальную сборку — другой обфускатор, другой метод инжекта, другие имена переменных. Даже если одна копия попадёт к EAC, сигнатура не подойдёт к остальным.

Разработчики приватных читов мониторят обновления EAC и адаптируют код до того, как новые сигнатуры начнут работать. Паблик-разработчики тоже обновляют, но с задержкой — и за это время тысячи пользователей получают баны.

External vs Internal — разница в безопасности

Internal-читы инжектят код прямо в процесс Rust. Они получают полный доступ к памяти игры, что открывает возможности вроде PSilent (магические пули) и Noclip. Но инжект легче обнаружить — EAC сканирует загруженные модули внутри процесса.

External-читы работают в отдельном процессе и читают память игры через системные вызовы. Они не оставляют следов внутри Rust, но имеют ограниченный функционал — некоторые эксплойты доступны только через internal-архитектуру.

С точки зрения безопасности external-читы живут дольше. Но разработчики internal-продуктов компенсируют это агрессивной обфускацией и уникальными сборками для каждого клиента.

Как защититься при использовании софта

Играть через HWID-спуфер — даже если чит обнаружат, заблокируют подменённый идентификатор, а не реальное железо. Это самая эффективная мера предосторожности.

Выбирать приватные читы с лимитом слотов. Чем меньше людей пользуется софтом, тем меньше вероятность попадания в сигнатурную базу EAC.

Не использовать rage-режим на виду у других игроков. Репорты ускоряют ручную проверку, а поведенческий анализ EAC учитывает частоту жалоб.