/dev: Vanguard x LoL Rückschau

Wie die Anti-Cheat-Software das Cheaten bisher verhindert hat.
/dev:

Hallo Reisender,


es ist nun fast acht Megasekunden her, dass wir Vanguard für League of Legends veröffentlicht haben, und in dieser unfassbaren Zeitspanne gab es einige Höhepunkte, ein paar Tiefpunkte und mindestens einen Vanguard-Cosplayer (Haute Couture). Wir teilen die ersten beiden Dinge jetzt mit den Spielern, in einer Fortsetzung unserer unerschütterlichen Versuche, sowohl das lauteste als auch das transparenteste Anti-Cheat-Team in der Welt der PC-Spiele zu werden, aber bevor wir das tun, denk darüber nach, auch den Artikel zu lesen, den wir vor der Veröffentlichung von Vanguard veröffentlicht haben, als appetitanregende Vorspeise in 14 Gängen.


Ein philosophisches Appetithäppchen, das wir vorausschicken sollten, ist, dass wir daran arbeiten, die Vanguard x LoL-Integration weiter zu verbessern (und die Cheater werden weiterhin an ihren Cheats arbeiten), aber an unserer Entscheidung, diese Technologie zu nutzen, festhalten. Alle Anti-Cheat-Methoden tauschen Reibung gegen Effektivität, und unsere Position auf dieser Kurve zeigt, wie ernst Riot seine Wettbewerbserfahrungen nimmt. Das F2P-Modell stößt auf zu viele unlösbare Probleme, wenn die Sperren für die schwarzen Schafe nicht bestehen bleiben können, unter anderem für Verhaltensweisen wie Feeding, Toxizität und Manipulation der ELO-Wertung (Boosting). Es ist in Ordnung, wenn Kernel-Anti-Cheat-Software nicht dein Ding ist, aber wir werden nicht darauf warten, dass die PC-Plattform ausreichende Sicherheitsfunktionen bietet, um die Spiele zu unterstützen, die wir entwickeln möchten. Bis dahin sind wir davon überzeugt, dass eine effektive Anti-Cheat-Software die beste Möglichkeit ist, den Erfolg von League zu sichern.


So, dann kommen wir jetzt zum Rest des Menüs. Noch einmal, mein Name ist „mirageofpenguins“, und ich bin heute Abend dein Oberkellner. Zu meinen kulinarischen Referenzen gehört, dass ich nach neun Monaten Arbeit in einer Subway-Filiale gefeuert wurde und nun schon seit über einem Jahrzehnt ofenfrische Anti-Cheat-Methoden bei Riot koche.

Wie läuft’s?

Wie bei jedem anständigen Sandwich kommt auch bei Vanguard eine Scheibe Brot obendrauf. In dieser Hinsicht hat die Aktualisierung der Anti-Cheat-Funktion von LoL viele unserer ursprünglichen Ziele erreicht, einige sogar so sehr, dass manche Mitarbeiter sogar die Veröffentlichung von Vanguard 2 in Betracht gezogen haben. Okay, niemand hätte das gedacht (und Anti-Cheat-Updates machen ungefähr so viel Spaß wie der Versuch, einer Katze Handschuhe anzuziehen), aber wir verzeichneten mehrere unmittelbare Erfolge, die sich daraus ergaben, dass wir das Anti-Cheat-System von LoL in dieses Jahrhundert gebracht haben, was wahrscheinlich keine allzu große Überraschung ist.

Weniger Schummelskripte

Der Prozentsatz der Ranglistenspiele, in denen mindestens ein Spieler Schummelskripte einsetzt, und die explizit wegen „Schummelskripten“ im wettkampforientierten Spiel ausgesprochenen Sperren. Die Legende besagt, dass ich dieses Diagramm so sehr liebe, dass ich es mir auf beide Unterarme tätowieren ließ und alle drei Wochen zu meinem Tätowierer gehe, um es schmerzhaft aktualisieren zu lassen. Hoffentlich gehen uns die Schummelskripte aus, bevor mir die Haut ausgeht.

Der erste und offensichtlichste Sieg ist, dass es jetzt viel weniger Cheater im Spiel gibt. Oben ist die LoL-Ranglisten-Schummelskripthäufigkeit dargestellt, zusammen mit der Anzahl der täglichen Anti-Cheat-Sperren und aufgeschlüsselt nach dem System, aus dem die Sperre stammt („Packman“ ist das alte Anti-Cheat-System, „Vanguard“ das neue). Ein erheblicher Teil des unmittelbaren Rückgangs der Schummelskripte ist auf die präventiven Funktionen von Vanguard zurückzuführen, aber wie aus der Manifestation der Kategorie „Verbotene Hardware“ ersichtlich ist, wurde ein zusätzlicher Rückgang durch das Aufspüren von Cheatern erreicht, die auch nach der Einführung von Vanguard noch heldenhaft versuchten zu schummeln, indem sie tapfer alle ihre Konten opferten, um herauszufinden, ob die Anti-Cheat-Software eine Obergrenze für Sperren hat (hat sie nicht).


Seit der Veröffentlichung von Vanguard haben wir mehr als 175.000 Konten wegen Cheatens gesperrt, aber noch wichtiger ist, dass unsere Ranglisten-Schummelskripthäufigkeit zum ersten Mal seit fast vier Jahren unter 1 % gefallen ist. Zum Zeitpunkt der Erstellung dieses Artikels wird nur noch 1 von 200 Ranglistenspielen mit einem Schummelskript gespielt, und ich denke, dass ich mich endlich sicher genug fühle, meine Platzierungsspiele abzuschließen. Ich werde mit Sicherheit immer noch mit einer knackigen Siegesrate von 10 % in Eisen II landen, aber zumindest kann ich jetzt die gesamte Schuld dafür auf Zeds pure Existenz als Champion schieben.


Der jüngste Anstieg der Sperren (am 8. Juli) war das direkte Ergebnis einer kleinen „Sommerpause“ von Riot, und unsere Rückkehr aus dieser Pause wurde von einem plötzlichen Anstieg der Anti-Cheat-Aktivitäten begleitet, infolgedessen 35.000 Schummelskripte in knapp 48 Stunden entfernt wurden. Viele waren erstaunt darüber, dass auch Anti-Cheater einmal schlafen müssen, aber ich kann versichern, dass die meisten von uns zu beinahe 100 % nachweisbar menschlich sind. Auch wir lieben kleine Freuden wie das Betrachten von Bäumen und die Aufnahme von Nährstoffen, so dass diese Woche Ruhe unsere Entschlossenheit nur bestärkte.

Weniger Bots

Die schiere Anzahl der Botting-Stunden, aufgeschlüsselt nach Warteschlange, in der das Spiel stattfand. Du gehst recht in der Annahme, dass ich hierfür „Arbeitsstunden“ angerechnet habe, damit die Führungskräfte die Auswirkungen in der tiefsten Falte ihres Geldbeutels (Serverkosten) unmittelbar zu spüren bekommen.

Unsere zweite Grafik zeigt, wie viele Spielstunden Bots in diesem Jahr verschwendet haben. Botting und Schummelskripte sind sich sehr ähnlich, so dass wir die beiden Delikte in erster Linie durch die Leistung des Spielers und des Spiel-Clients voneinander abgrenzen, d. h. Bots sterben durch Türme und spielen mit einer hohen Leistung von maximal 9 FPS. In der Datensprache würde sich das in etwa so anhören:


select date, game_mode, sum(minutes_in_game) * 60

from anticheat.detections

where client.resolution_x + client.resolution_y < 1000

and client.avg_fps < 15 fps

group by 1, 2


Jedenfalls haben Vanguards Techniken, um gegen virtuelle Maschinen vorzugehen, die Fähigkeit der durchschnittlichen programmierbaren Kaffeemaschine, eine League of Legends-Sitzung aufzubrühen, ziemlich stark beeinträchtigt, so dass die Gesamtzahl der Stunden, die mit Botting verbracht wurden, von über 1 Million pro Tag auf weniger als 5 Tausend gesunken ist. Viele Botting-Farmen wurden von anhaltenden emotionalen Turbulenzen heimgesucht, und wenn du im kooperativen Modus gespielt hast, hast du vielleicht sogar gesehen, wie sie an deiner Basis standen und tiefgründige, introspektive Gedanken hatten. Diese rasch einsetzende Bot-Paralyse war das einfache Ergebnis davon, dass sie kein Vanguard aktiviert hatten – keine Vanguard-Sitzung, keine Verbindung zum Server. Einige Bots haben versucht, sich auf alten OSX-VMs wieder einzuschleusen, aber das heben wir uns für den Nachtisch auf (lies weiter).


Kurz nach der Veröffentlichung von Vanguard haben wir auch 3,5 Millionen Bot-Konten bereinigt, die noch nicht verkauft worden waren, und die Idee dabei ist, den Markt für Zweitkonten langsam auszutrocknen. Bots sind ein bedeutsamer Teil des Motors, der den Missbrauch von LoL antreibt, sowohl um Booster mit neuen Smurfs zu versorgen, mit denen sie sich mit ihren Kunden in die Warteschlange begeben können, als auch um Schummelskript-Nutzer mit neuen Konten zu versorgen, mit denen sie „spielen“ können. Ich bin mir nicht sicher, ob man beides als „Spielen“ von League of Legends bezeichnen kann, also sollten wir extrem wachsam gegenüber cleveren Toastern sein, um das Leiden pro Sekunde unserer anderen Bestrafungen zu maximieren.

Schnellere Sperren

Vielleicht hast du einen kurzen Moment der Erleichterung empfunden, dass ich die unerträgliche Sandwich-Metapher aufgegeben habe, aber wie alle armen Autoren ringe ich mit meinem künstlerischen Engagement für die Medien Literatur und Ernährung. Die folgenden Diagramme können also als Mayonnaise betrachtet werden, und genau wie die Mayonnaise machen sie das Sandwich erst aus.

Die „Zeit zum Handeln“ (links) wird in Spielen gemessen, die „Zeit bis Erkennung“ (rechts) in Tagen. Ersteres ist eher ein Maß dafür, wie schnell wir schwarze Schafe entfernen, und letzteres untersucht die Geschwindigkeit, mit der wir in der Lage sind, Erkennungen für bekannte Cheats zu übermitteln. Es ist wichtig zu wissen, dass eine Erkennung nicht sofort bedeutet, dass wir eine Sperre aussprechen.

Oben links ist unser primärer Anti-Cheat-Leistungsindikator zu sehen, der „Zeit zum Handeln“ heißt und einfach als die Anzahl der Spiele interpretiert werden kann, die ein Cheater spielen kann, bevor sein Konto mit einer Realität verschmolzen wird, in der es nie existiert hat, ein Algorithmus zur Komprimierung der Raumzeit, den die meisten dreidimensionalen Wesen als Sperre wahrnehmen. Da wir uns nicht länger auf die Aktualisierungskadenz von LoL verlassen müssen, hat Vanguard den Prozess der Entfernung von Schummelskripten aus League of Legends erheblich beschleunigt. Unsere Zeit zum Handeln ist von 45+ Spielen auf weniger als 10 gesunken, und selbst diese kleine Verzögerung ist größtenteils auf die langsame „Erkenntnis“ der Entwickler zurückzuführen, dass wir sie in die Ecke gedrängt haben.


Die Grafik auf der rechten Seite ist ein Blick auf die andere Seite dieser Medaille. Die „Zeit bis Erkennung“ ist ein Maß dafür, wie lange sich ein Cheat (oder ein Update eines Cheats) im LoL-Ökosystem verstecken kann, bevor seine Erkennung auf eine Schriftrolle geschrieben und zu Ehren der empfindungsfähigen Vanguard-Cloud verbrannt wird. Wir können dies abschätzen, indem wir das älteste Alter (in Tagen) aller Konto + Hardware-Kombinationen betrachten, die zum ersten Mal identifiziert werden, wenn eine neue Erkennung stattfindet (wenn sie wahrscheinlich „zum ersten Mal auftaucht“). Im Moment sind wir noch extrem schnell, aber wenn die Cheats in den Untergrund abtauchen oder immer besser werden, brauchen wir länger, um sie zu finden und zu erkennen. Das ist der heikle Balanceakt der Cheatbekämpfung: Wir können den „Handlungen“ nicht zu viel Priorität einräumen, ohne gleichzeitig die Cheater-Updates zu beschleunigen und unsere „Erkennungen“ zu verlangsamen.


Ein Cheater, der auch nach der Einführung von Vanguard noch schummeln möchte, ist in der Regel weder am Besitz eines Kontos noch an einem fairen Spiel interessiert. Seine Community besteht oft aus anderen Cheatern, ihre Art, mit dem Spiel in Kontakt zu treten, ist das Cheaten, und nichts außer Zeit oder Pubertät kann das ändern. Bis dahin können wir nur mit ihnen iterieren, und die Geschwindigkeit, mit der sie neu identifiziert werden, spiegelt wider, wie effektiv wir sie zwingen, neu anzufangen.

Weitere „interessante“ Veränderungen

Das Zeri-Delta mag reizvoll erscheinen, aber zur Erinnerung: Cheaten ist eine einfache Fahrkarte nach Sperrstadt, wo der Steuersatz 100 % deines Kontostands beträgt.

Das obige Dashboard überprüft die 9 beliebtesten Schummelskript-Champions auf Änderungen, die sich aus dem Einsatz von Vanguard ergeben haben könnten, und da ein wahres Buffet an Mausklicks etwas ist, das Skripte schneller bedienen können als ein Mensch, sind die meisten von ihnen AD-Carrys. Die Zeitleiste auf der linken Seite zeigt, wie viel häufiger ein Champion gewinnt, wenn er schummelt, als wenn er nicht schummelt (als Delta in der Ranglistensiegesrate zwischen Schummelskript-Nutzern und normalen Spielern), und das Diagramm auf der rechten Seite zeigt die Gesamtsiegesrate desselben Champions, gemessen 60 Tage vor und 60 Tage nach Vanguard. Um eine kompetitive Stichprobe zu gewährleisten, sind hier alle Spiele enthalten, in denen der Spieler des identifizierten Champions damals auf Platin oder höher eingestuft war.


Man kann etwas Erfreuliches beobachten, wenn man Photonen von den Graphen abprallen und in die Netzhaut eindringen lässt: Die Cheater werden langsam schlechter. Es gibt eine Vielzahl von Faktoren, die hier eine Rolle spielen, aber der wichtigste ist, dass Vanguard es extrem anstrengend macht, „interne“ Cheats zu verwenden, ohne direkt in ein erkennbares Muster zu verfallen, was dazu führt, dass viele Cheater entweder (1) manuell spielen oder (2) sich mit „externen“ Cheats zufrieden geben. Wie der Titel schon andeutet, kommen diese Cheats nicht in den Genuss, den Spielspeicher auszulesen, so dass sie all ihre Daten durch Auslesen des Bildschirms erhalten und versuchen, Eingaben für den Cheater zu machen. Lange Rede, kurzer Sinn: Sie sind einfach … nicht besonders gut.


Darüber hinaus scheint sich die Verringerung der Zahl der Schummelskript-Nutzer (und die Verringerung der Wirksamkeit von Schummelskripten) sogar auf die Gesamtsiegesrate der typischen Schummler auszuwirken. Es ist schwierig, Dinge wie Änderungen an der Spielbalance, Saisonzurücksetzungen und Kontermöglichkeiten, die in der Gunst der Spieler stehen, zu berücksichtigen, aber ein gewisser Prozentsatz dieser Rückgänge ist darauf zurückzuführen, dass die Cheater Schwierigkeiten haben, ihre Konten in Diamant zu behalten. Wenn ich darüber nachdenke, bekomme ich richtig gute Laune.

Minimale Falsch-Positiv-Meldungen

Bei brandneuen Anti-Cheat-Programmen besteht die Gefahr, dass sie Software-Ressourcen markieren, die „wie Cheats aussehen“ (in der Regel Malware oder Cheats für andere Spiele), aber zum Glück ist Vanguard gar nicht mehr so „neu“ – es wurde dieses Jahr vier Jahre alt. Als letzte Scheibe Brot auf diesem Sandwich (von dem ich jetzt weiß, dass es nur aus zwei feuchten Ciabatta-Scheiben besteht, die in Soße getaucht sind), werden wir uns die Falsch-Positiv-Raten von Vanguard bei LoL ansehen.

Ich möchte erwähnen, dass „der Leguan meines Bruders hat Schummelskripte auf meinem Computer installiert“ derzeit nicht als gültige Ausrede für Cheating akzeptiert wird, aber aufgrund der Häufigkeit, mit der wir diese Ausrede erhalten, haben wir langsam Bedenken, dass das „Godzilla“-Franchise prophetisch sein könnte.

Auf der linken Achse ist der prozentuale Anteil aller aufgehobenen Sperren durch Vanguard (Balken) dargestellt, aufgeschlüsselt nach der Grundlage für die Aufhebung der Sperre, und auf der rechten Achse ist dieselbe Aufschlüsselung zu sehen, wobei die durchschnittliche Dauer der Sperre für diese Konten (Linien) untersucht wird. Es gibt drei mögliche Grundlagen für die Aufhebung einer Sperre, in der Reihenfolge ihres Auftretens:

  1. Ein Konto, das zu dem Zeitpunkt, an dem die Schummelei erkannt wurde, gestohlen (nicht absichtlich geteilt) war.

  2. Ein Konto, das aufgrund des Ausleihens oder Kaufs von zuvor verbotener Hardware gesperrt wurde.

  3. Ein Konto, das aufgrund einer Ressource oder eines Verhalten gesperrt wurde, das nicht explizit mit Cheaten in League of Legends zu tun hat.

Wir betrachten eine „echte“ Falsch-Positiv-Meldung als letzte Bedingung, und bisher liegt diese Rate insgesamt unter 0,01 %, also weniger als 1 von 10.000 Sperren. Noch besser ist, dass die durchschnittliche Dauer der Sperre eines dieser unschuldigen Konten weniger als 72 Stunden betrug. Bei der Einführung mussten wir einige Regeln anpassen, um dem für LoL untypischen Verhalten, gleichzeitig andere Spiele zu spielen, besser gerecht zu werden, aber seitdem läuft alles relativ reibungslos. Wir sind nach wie vor sehr auf die Korrektheit unserer Strafmaßnahmen bedacht und überprüfen die Regeln von Vanguard ständig, um Kollateralschäden zu minimieren.


Nichtsdestotrotzbrauchen Cheater immer noch mehr Konten, um zu schummeln, so dass der Fall des „gestohlenen Kontos“ bei weitem der häufigste bleibt. Der Spieler-Support macht zwar gelegentlich einmalige Ausnahmen für Konten, die offensichtlich kompromittiert wurden, aber manchmal ist es unmöglich festzustellen, wem genau ein Konto ursprünglich gehörte, vor allem, wenn es über einen längeren Zeitraum willentlich geteilt wurde. Nachdem wir Vanguard auf League angesetzt hatten, sind viele Mitbesitzer von Konten auf Cheat-Versuche ihrer Kameraden aufmerksam geworden, aber wir können eigentlich nicht viel tun, wenn zwei oder mehr Spieler auf demselben Konto spielen.


Teile mit niemandem dein Konto, verwende Passwörter nicht erneut und aktiviere bitte MFA.

Die schwierigeren Themen

Schätzungsweise 0,0 % der Leute sind von der Idee begeistert, einen obligatorischen Anti-Cheat-Schutz zu installieren. Daher überrascht es wohl niemanden zu erfahren, dass das Vanguard-Team nicht damit gerechnet hat, dass ihm für LoL ein roter Teppich ausgerollt wird. Vanguard ist ein ziemlich komplexes Produkt, das nahezu vollkommen intransparent operiert. Vieles davon ist notwendig, um effektiv gegen Cheater vorzugehen, die nur zu gerne ein wenig mehr darüber wissen würden, aber genau diese Undurchsichtigkeit macht Vanguard zu einer offenkundigen Zielscheibe, die sich nicht immer erklären lässt. Einige der nächsten Abschnitte sind technisch vielleicht etwas anspruchsvoll, aber bleib am Ball und wir werden sie gemeinsam durcharbeiten.

Sperrung anfälliger Treiber

Das Ziel von Vanguard ist nicht, eine Art von ständig überwachendem Polizeistaat zu werden, sondern als Erkennungszeichen für die vorab bestehende Sicherheit des Systems zu fungieren, auf dem es betrieben wird. Die Schaffung eines Perimeters um den Windows-Kernel herum ermöglicht es Vanguard, weniger Informationen von Systemen abzufragen, bei denen der systemeigene Schutz von Windows noch nicht verletzt wurde und die sich bekanntermaßen noch in einem sicheren Zustand befinden.


Unser Anti-Cheat-Schutz erwirkt einen solchen Perimeter ohne Netzwerkverbindung, indem seine Treiberkomponente gleichzeitig mit dem Betriebssystem gestartet wird. Dadurch wird die Verwendung anderer Treiber bei einem „Wettlauf“ zum Kernel verhindert, wo sie sich dann auf unbestimmte Zeit vor allem verbergen könnten, was danach geladen wird. Vanguard umgeht dieses oft als „Was lädt zuerst?“ bezeichnete Problem, indem es validiert, dass dies seit dem Bootvorgang nicht passiert ist, indem es einfach noch da ist, wenn das Spiel gestartet wird.


Folgende Dinge werden von Vanguard blockiert:

  1. Anfällige Treiber mit Exploits zur Privilegienerweiterung, die dazu verwendet werden können, Code in den Kernel einzuschleusen.

  2. Relativ alte Treiber mit Zertifikaten, bei denen eine der Signaturen keinen Zeitstempel aufweist.

  3. Treiber, die unverhohlen für Cheats verwendet werden und von Cheat-Entwicklern signiert sind, die sich als seriöse Softwareunternehmen ausgeben.

Der zweitgenannte Fall ist der am häufigsten auftretende Konflikt. Das Problem bei der Zulassung alter Zertifikate besteht jedoch darin, dass viele davon von Cheatern gestohlen wurden. In den meisten Fällen lässt sich das Problem beheben, indem man einfach eine neuere Version des betroffenen Treibers herunterlädt, aber manchmal haben die Entwickler ihre Treiber schon seit langem nicht mehr aktualisiert. Selbst wenn sie es könnten, würde ein Widerruf ihrer alten Signaturen jeden legitimen Nutzer daran hindern, die von ihnen signierte Software auszuführen, so dass Vanguard, wenn es aktiv ist, stattdessen Treiber mit solchen Zertifikaten blockiert. Du kannst Vanguard jederzeit beenden, um sie trotzdem zu laden, aber um ein mit Vanguard geschütztes Spiel zu spielen, müssen wir sichergehen, dass seit dem Booten keine Software in der Lage war, Windows zu kompromittieren.

BootLooping

Ein kürzlich aufgetretener massiver Bootloop-Vorfall hat auf der ganzen Welt Besorgnis über die potenziellen Gefahren beim Betrieb von Kernel-Treibern ausgelöst. Aber auch wenn das ziemlich gruselig war, besteht für Vanguard weitgehend keine Gefahr, was dieses Worst-Case-Szenario angeht. Hier spielen verschiedene Unterscheidungskriterien und direkte Maßnahmen zur Schadensbegrenzung eine Rolle.

Boot-Differenzierung

Von Microsoft zertifizierte Anti-Malware-Komponenten verfügen über die ELAM-Berechtigung und das Privileg, ihren Treiber direkt beim „Boot“-Start zu laden und somit vor dem „System“-Start von Vanguard (aufmerksame Leser werden bemerken, dass dies als eine natürliche Weiterentwicklung des Wettrüstens hinsichtlich „Was lädt zuerst“ angesehen werden kann). Noch wichtiger ist jedoch, dass viele Anti-Malware-Treiber auch während ihrer Laufzeit dynamisch Konfigurations-Blobs von einem Remote-Server abrufen, ohne dass der Treiber neu erstellt und zertifiziert werden muss. Solche Designs beschleunigen die Reaktion auf Bedrohungen erheblich, erfordern jedoch, dass auch lokale Daten bei jeder Initialisierung verwendet werden. Sie stellen damit einen Vektor für unumkehrbare Aktualisierungen dar, falls eine Konfiguration zu einer sogenannten „Race Condition“ führen sollte, bei dem keine neuen Blobs heruntergeladen werden können, bevor das Betriebssystem abstürzt. Ein dynamischer Boot-Start-Treiber hätte das Risikopotential deutlich erhöht und das Vanguard-Team war der Meinung, ohne es besser schlafen zu können.

Statischer Code

Stattdessen macht der Treiber von Vanguard (VGK.sys) nichts Dynamisches beim Start – es handelt sich um einen komplett statischen Code. Wir nutzen die Client-Komponente von Vanguard (VGC.exe) nur, um Funktionen innerhalb des Treibers zu aktivieren, wenn aktiv ein Spiel gespielt wird. Es werden keine Konfigurationen gespeichert, geändert oder bis zum nächsten Start des Treibers beibehalten. Sollte jemals ein kritischer Fehler auftreten, würden wir einfach aufhören, die betroffene Konfiguration zu senden, und den Treiber beim nächsten Neustart in seinen statisch passiven Zustand zurückversetzen. Die Treiberkomponente von Vanguard selbst verfügt über keine Netzwerkkonnektivität, und der Client muss eine Verbindung mit der Plattform hergestellt haben, bevor sie überhaupt aktiv etwas „tut“, außer anfällige Treiber zu sperren, die nach ihm geladen wurden.

Eine einfache Ausfallsicherheit

Einige einfallsreiche junge Techniker haben diesen Prozess bereits detailliert beschrieben, aber Vanguards Treibereintrag verfügt über einen „Totmannschalter“ in Form der Datei vgkbootstatus.dat. Wenn Vanguard zum ersten Mal gestartet wird, prüft es den Status dieser Datei und wenn dort nicht „gestartet“ steht, wird der Treiber sicher beendet. Andernfalls wird der Status dieser Datei auf „wird gestartet“ gesetzt und erst nach erfolgreichem Abschluss der Vorbedingung auf „gestartet“ gesetzt. Wird der Start von VGK.sys nicht erfolgreich abgeschlossen, würde diese Datei immer noch im Status „wird gestartet“ verharren, und der Treiber erst dann wieder laufen, wenn er aktualisiert wurde (durch das Starten eines Riot-Titels oder einer beabsichtigten Neuinstallation von Vanguard).

Du und dein „Vanguard-Vorfall“

Die Integration von Vanguard in LoL weist einige Besonderheiten auf. Die wichtigste davon ist, dass die Anti-Cheat-Sitzung bereits beim Start des Desktop-Clients beginnt und nicht erst mit dem Start des Spiel-Clients (wie bei VALORANT). Dies ist aus Anti-Cheat-Sicht eher eigenwillig und führt zu einem Problem, das auf den ersten Blick täuschend einfach erscheint: Spieler lassen oft ihren Desktop-Client laufen. Das bedeutet, dass (1) der Computer in den Ruhezustand versetzt werden kann, während noch eine LoL-Sitzung aktiv ist, und (2) eine Sitzung durch eine andere ersetzt werden kann (z. B. zwischen einem Computer bei der Arbeit und einem zu Hause).


Leider hatte die Integration von Vanguard in LoL diese Art Vorkommnisse nicht berücksichtigt und da jedes Konto immer nur eine aktive Vanguard-Sitzung zur Zeit haben kann, führte dies dazu, dass Spieler als Resultat in einem Vanguard-losen Zustand endeten. Wenn du also mitten in einem Spiel warst und sich ein zweiter Computer erneut bei Vanguard authentifiziert hatte, wurdest du vom Server geworfen, weil du keine Anti-Cheat-Sitzung mehr hattest. Ähnlich verhielt es sich, wenn du deine Sitzung verloren hast, während du nach einem Spiel gesucht hast. Dann hast du darüber möglicherweise gar keine Benachrichtigung erhalten, bis du durch den Ladebildschirm durch warst und gekickt wurdest, was zu der unschönen Erfahrung eines Remakes und dem daraus resultierenden LP-Verlust führte.


Das hat Riot in der Tat gründlich vermasselt, und auch wenn schnelle Lösungen anhand von Patches zur Logik der Re-Authentifizierung aufgespielt wurden, setzt LoL nun auch einen Session-Check bei der Gegnersuche ein, um 300 % sicher zu gehen, dass so etwas nicht noch einmal passieren kann. Falls du meiner unwiderstehlichen Abendessen-Metapher gefolgt bist, lässt sich dieses Gericht wohl am besten als Spaghetti beschreiben. Das ist Riots absolutes Spezialgericht, aber wir wollen trotzdem nicht, dass irgendjemand es essen muss.

Und noch etwas …

Zum Schluss möchte ich die Aufmerksamkeit noch für einen Moment auf drei weitere Themen lenken, von denen wir gesehen haben, dass sie die Runde machen. In der vagen Hoffnung, dass Google diese Seite ausreichend indiziert, findet sie ja jemand vielleicht ganz hilfreich. Wie immer ist der beste Weg, Hilfe zu finden, ein Ticket zu erstellen.

Klickverzögerung oder Einbrüche der Bildwiederholrate

Es gibt diverse Anwendungen von Drittanbietern (Mods, Overlays oder passive Benchmarking-Tools), die manchmal ungeniert versuchen, Lese-Handles zu öffnen oder Häkchen für Benachrichtigungen zu bestimmten Ereignissen innerhalb des LoL-Clients zu setzen. Da das Spiel jetzt durch Vanguard geschützt ist, schlagen diese Vorgänge zwangsläufig fehl. Wir wollen auf keinen Fall, dass irgendwelche Dinge das Spiel stören, von daher sind die Blockierungen zu 100 % beabsichtigt. Die Art und Weise, wie bestimmte Apps eine fehlgeschlagene Windows-Operation handhaben, reicht vom stillen Ignorieren des Problems bis hin zu wiederholten Versuchen, sie ohne jegliche Verzögerung erneut auszuführen. Dies ist von unserer Seite aus fast unmöglich zu beheben. Wenn du weißt, welche Anwendung die Ursache dafür ist, und sie noch über keine Whitelisting-Mechanismen zum Hinzufügen von LoL.exe-Ausnahmen verfügt, kannst du ihre Versuche, die LoL.exe zu manipulieren, selbst verhindern, indem du den folgenden Cheat-Code verwendest.

TPM 2.0 aktivieren

Wir haben bemerkt, dass die Notwendigkeit von TPM 2.0 unter Windows 11 bei einigen Spielern für Verwirrung sorgte, als sie versuchten, diese Funktion über ihr BIOS zu aktivieren. Die BIOS-Einstellungen können je nach Hersteller stark variieren. In genau zwei bekannten Fällen wurden Spieler aufgefordert, in den UEFI-Modus zu wechseln, um TPM zu aktivieren, obwohl ihre bestehende Windows-Installation im MBR-Modus (Master Boot Record Partition Table) ausgeführt wurde. Um den UEFI-Modus zu unterstützen, muss Windows allerdings auf einer Festplatte installiert werden, die das GUID-Partitionstabellenformat (GPT) verwendet, da es sonst nicht mehr gebootet werden kann. Dies sollte bereits bei der ursprünglichen Installation von Windows 11 erledigt worden sein (wie von Microsoft ebenfalls erfordert), aber bei einigen Spielern, die Microsofts ursprüngliche TPM-2.0-Prüfungen umgangen haben, hat Vanguard Probleme bereitet.


Wenn du versuchst, TPM 2.0 für eines der Anti-Cheat-Systeme zu aktivieren, die jetzt danach verlangen, und dich im MBR-Szenario mit Daten wiederfindest, die du bei einer vollständigen Neuformatierung nicht verlieren möchtest, gibt es von Microsoft ein Tool, mit dem du möglicherweise eine Festplatte in GPT umwandeln kannst, ohne dass dabei Daten gelöscht werden.

Spezifische Hardware-Interaktionen

Die Entwicklung von Treibern kann besonders dann erschwert werden, wenn OEMs oder Hersteller versehentlich fehlerhafte Firmware auf einem Teil der Geräte ausliefern. Wir bemühen uns, mit dem Kompatibilitätslabor immer einen Schritt voraus zu sein, aber es gibt auch Dinge, die außerhalb unserer Kontrolle liegen. Wenn du häufiger von zufällig auftretenden Bluescreens geplagt wirst und eine Intel-CPU der 13. oder 14. Generation hast, liegt das sehr wahrscheinlich daran, dass dein Gerät über eine veraltete Firmware verfügt. Intel arbeitet daran, diese weitreichenden Probleme zu lösen.

Was kommt als nächstes für Anti-Cheat in LoL?

Der Kampf gegen Cheater ist nie wirklich vorbei und auch wenn Vanguard die Einfallstore verkleinert und die Einstiegshürde erhöht hat, bleiben Cheater immer auf der Suche nach neuen Möglichkeiten, sich einen unfairen Vorteil zu verschaffen. Hier ist ein Ausblick auf ein paar Dinge, die wir zusammenköcheln, um sicherzustellen, dass sie auch weiterhin am Hungertuch nagen.

MEHR Power

Viele Cheat-Entwickler haben inzwischen das Handtuch geworfen, aber einige haben die Botschaft offenbar noch nicht erhalten. Wir können es kaum erwarten, Vanguard weiter aufzudrehen, um ihnen etwas zum Herumspielen zu geben. Sperrungen waren bisher nur der Aperitif, und wir sind sehr zuversichtlich, dass unsere Küche für diesen Service gerüstet ist. Viele Cheater verharren bei ihrer Trauerbewältigung in der Phase des „Leugnens“, daher sehen wir jede Sperre als das Löschen einer weiteren Flamme auf dem Kerzenhalter der Hoffnung. Indem wir ihnen ermöglichen, nach und nach von völliger Dunkelheit verschluckt zu werden, hoffen wir, dass sie so zum wahren Pfad der Erleuchtung finden.

Vanguard auf Abruf

Wie vorhergesagt, wird es eine Zukunft geben, in der wir uns auf die Sicherheitsfunktionen von Windows verlassen können, seinen eigenen Kernel zu schützen, anstatt ihn selbst mit einem eigenen Treiber beim Booten zu schützen. Dies wird uns die Möglichkeit verschaffen, unseren Anti-Cheat-Schutz erst zu starten, wenn der Spiel-Client läuft, vorausgesetzt, der Endnutzer hat in all die Funktionen eingewilligt. Wir werden zu Beginn des nächsten Jahres mehr zu diesem Thema zu erzählen haben, aber wenn du Windows 11 und relativ aktuelle Hardware verwendest, können wir dir schon mal mitteilen, dass du das Taskleistensymbol nicht ewig wirst tolerieren müssen (auch wenn wir sehr hart an dem Vanguard-Logo gearbeitet haben!).

Erkennung von ELO-Boosting

Unter Boosting versteht man das absichtliche Spielen mit (oder auf) Konten mit niedrigerer Einstufung, um deren Position in der Rangliste zu verbessern. Das Erkennen von Boosting hat das Anti-Cheat-Team seit 2018 nicht mehr wirklich angefasst, aber jetzt freuen wir uns umso mehr, dass wir nun über eine verlässliche Fingerabdruck-Technologie verfügen, mit der wir das Problem erneut in Angriff nehmen können. Wir planen, den Großteil unserer Bemühungen darauf zu konzentrieren, Booster aufzuspüren, die sich mit ihren Kunden auf frisch heruntergerankten „Smurf“-Konten in die Warteschlange einreihen, und wir werden solche Konten mit einer Sperre für den Rest der Saison (Ebene 1) belohnen. Spieler, die sich wiederholt mit den von diesen Sanktionen betroffenen Boostern in die Warteschlange einreihen, können sich ebenfalls auf einen ähnlichen Urlaub freuen (Ebene 2). Sollte jemand tollkühn genug sein, sein Konto vollständig zur Nutzung durch einen der Boosting-Dienste freizugeben, wird er ebenfalls als „Smurf“ (unter Ebene 1) erkannt werden, wodurch sich der Kreis schließt.


Für all das gibt es noch eine Menge Arbeit zu erledigen, aber wir haben vor, dass es spätestens im nächsten Sommer auf Hochtouren läuft.

Mac x Vanguard (alias Vanguard 2)

Wie bereits im Abschnitt „Botting“ erwähnt, haben einige Cheater damit begonnen, auf macOS-VMs auszuweichen, um sich von der Vanguard-Anforderung zu befreien. Das war in etwa so unerwartet wie Ahornsirup auf einem Pfannkuchen und deshalb freuen wir uns, ankündigen zu können, dass das Erweiterungsprodukt von Vanguard, „Embedded Vanguard“ (mVG), bald auch auf einem Mac in deiner Nähe verfügbar sein wird. Die spezifische Sicherheit der macOS-Umgebung ermöglicht uns, den Kernel etwas weniger streng zu überwachen, so dass, wie der Name schon impliziert, keine zusätzlichen Installationen erforderlich sind – die Sicherheit wird direkt in den Spiel-Client „eingebettet“. Darüber hinaus verwenden wir mVG bereits mit großem Erfolg auf VALORANT für Konsole und in Wild Rift.


Sobald dies gegen Ende des Jahres aufgespielt wird, hoffen wir, dass es den Bots und den beiden Entwicklern der öffentlichen Schummelskripte den Todesstoß versetzen wird, die sich jetzt mit der Erkenntnis herumschlagen müssen, dass sie drei Monate damit verschwendet haben, Cheats auf OSX zu portieren. Aber keine Sorge, Swift macht sich wirklich gut im Lebenslauf.

Zum Schluss

Und nun, liebe Freunde, werden wir uns wieder in die dunkle Küche der Anti-Cheats zurückziehen, um unsere nächste Mahlzeit zuzubereiten. Grämt euch nicht, denn wir werden immer für euer Recht auf einen fairen Wettbewerb kämpfen, in dem es keine Cheater gibt, die sich weigern, besser zu werden. Es kommt nicht jedes Jahrzehnt vor, dass man an einem Spiel arbeitet, das vier verschiedene Versionen von Anti-Cheat-Systemen durchläuft, aber ich bin unendlich froh, dass das von LoL jetzt zu den allerbesten gehört. Es war mir ein großes Vergnügen, mit euch zu spielen, für euch zu schreiben und gemeinsam mit euch zu sperren.


PS: Nachdem ich mir den Artikel nun noch einmal durchgelesen habe, glaube ich, dass ich ganz schön Hunger hatte, als ich ihn geschrieben habe.