Небольшое отступление перед началом проверки.

Для начала, у вас должны быть заготовленны определенные программы и методы проверки, которые мы рассмотрим дальше. Вы должны свободно ими пользоваться и знать преимущество в проверке определенной программой или методом. 
Для начала скачайте этот АРХИВ(ТЫК) на ваш ПК. В нем находятся основные программы для проверки. Сторонними программами пользоваться ЗАПРЕЩАЕТСЯ ради безопасности игроков. Этот архив предназначен ТОЛЬКО для вас и вашей обучаемости. 
При проверке, все эти программы подозреваемый сам скачивает с офицальных сайтов из своего браузера. Скидывать программы напрямую ЗАПРЕЩАЕТСЯ.

Процесс проверки состоит из нескольких этапов, которые можно выполнять в любом порядке:

1) Открытие 3 папок через проводник. В архие есть текстовый документ где будут 3 строчки. Каждую строчку вставляем в адресную строку проводника. Далее проверям на наличие подозрительных файлов:
     1.1 Recent.  Список последних открытых файлов, папок, программ. Здесь сортируем по дате и внимательно смотрим на подозрительные активности. В папке мало файлов, поэтому здесь долго не задерживаемся и открываем следующую.
     1.2 History. Заходит в папку сегодняшнего дня и проверяем что было открыто за день, так же можно зайти и на предыдущий день. Есть две фишки в этих папках. В ней могут находится битые ссылки, это значит что польлзователь открывал какую-то программу или файл, она сохранилась в истории, но после он ее удалил и мы будем видеть битую ссылку на этот файл или программу, обращаем внимание на это. Это не доказывает наличие стороннего ПО для преимущества в игре, но увеличивает подозрительность к проверяемому. Вторая фишка, при открытии этой папки, проводник может вылетать :)
     1.3 Prefetch. Главная папка из  трех. Здесь находятся все события открытия всех приложений, будь то системные или те, которые открывал пользователь. Начиная от загрузки Windows, с ее системными программами и заканчивая его выключением. Сначал сортируем по дате. после нам нужно просмотреть как минимум все файлы за 2 дня, в зависимости от ситуации время можно сократить. Обращать внимание нужно на открытие процесса с игрой.Зачастую чит запускают вместе с игрой, поэтому тщательно проверить все запущенные процессы возле него и выше, потому что чит могли запустить и спустя 2 часа после открытия игры. 
2) Сеть и Интернет. Некоторые читы используют трафик интернета для своих нужд, мы можем это проверить стандартными возможностями. Зайдите в параметры Windows и перейдите к настройкам Сети и Интернет, далее - Использование данных. Здесь ищите подозрительные названия программ, зачастую чит использует мало трафика +-1мб, поэтому будут находится внизу страницы.
3) Everything. Программа показывает все файлы на ПК. Первым делом делаем сортировку по дате. Ищем подозрительные файлы за последние 1-2 месяца.  Далее в поиск вставляем все известные значения расширений архивов и так же проверяем на подозрительные названия или расположение архива. После вставляем все известные названия читов в поисковую строку и так же проверяем на подозрительность. (В папке программы будет лежать текстовый файл с поисковыми запросами.)
4) Last Activity. Программа по сути показывает папку Prefetch в более доступном и понятном виде (но не все). Делаем сортировку по дате и проверям так же как и в пункте 1.3.
5) ShellBag. Программа показывает недавно открытые, удаленные файлы, показывая следы активности пользователя в системе. Здесь все так же сортируем по дате и обращаем внимание на подозрительные активности, будь то удаление архива, программы, файла, или же их последние открытие.

Это основа, которые вы должны знать и делать на каждой проверке, есть более сложные методы и способы проверки, но для их использования нужные определенные знания.