HandyCafe Docs
owner it-admin

Sicherheit und Anti-Cheat

HandyCafe enthält ein Anti-Cheat- und Client-Sicherheitssystem für den Betreiber. Es besteht aus zwei Teilen: dem Panel Sicherheit, in dem Sie Erkennungen überwachen und Sperren verwalten, und der Seite mit den Sicherheitseinstellungen, auf der Sie konfigurieren, welche Schutzmaßnahmen auf den Client-PCs laufen. Damit härten Sie Client-Prozesse ab, erkennen Cheat-Tools und Debugger, sperren Geräte anhand ihres Hardware-Fingerabdrucks und prüfen verknüpfte Steam-Konten auf VAC-Sperren.

Sicherheits-Panel

Das Panel Sicherheit ist in drei Reiter gegliedert: Manipulationsereignisse, HWID-Sperrliste und Steam VAC. Klicken Sie auf einen Reiter am oberen Rand des Panels, um zwischen ihnen zu wechseln.

Manipulationsereignisse

Der Reiter Manipulationsereignisse zeigt einen Verlauf der Anti-Cheat-Erkennungen, die von den Client-PCs gemeldet wurden. Jede Zeile führt die Zeit, den Computer (Anzeigename mit der darunter angezeigten MAC-Adresse), die Kategorie Ereignis, den Schweregrad und eine Beschreibung in verständlicher Sprache auf, was erkannt wurde.

Verwenden Sie die Filterzeile am oberen Rand, um die Liste einzugrenzen. Sie können ein Datum wählen (die Ansicht zeigt standardmäßig den heutigen Tag und lädt bei einer Änderung neu), eine Kategorie auswählen, einen Schweregrad festlegen (Kritisch, Warnung oder Info) und im Feld Nach Computer oder MAC suchen etwas eingeben. Die Schaltfläche Aktualisieren lädt die Ereignisse neu. Der Zähler neben den Filtern zeigt, wie viele Ereignisse den aktuellen Filtern entsprechen, gemessen an der Gesamtzahl der geladenen Ereignisse.

Zu den Ereigniskategorien gehören Prozessprüfung, Fensterprüfung, Treiberprüfung, Debugger, Speichereditor, Injektor, Spiel-Cheat, Binärintegrität, Codesignatur, DNS-Überwachung und Zeitmanipulation. Wenn für das ausgewählte Datum keine Erkennungen vorliegen, zeigt das Panel Keine Manipulationsereignisse an diesem Datum.

HWID-Sperrliste

Der Reiter HWID-Sperrliste führt die Geräte auf, die anhand ihres Hardware-Fingerabdrucks (HWID-Hash) gesperrt sind. Die Tabelle zeigt den HWID-Hash, die Beispiel-MAC, den Grund, die Notiz und die Zeit. Der Zähler am oberen Rand zeigt, wie viele Sperren bestehen.

Um ein Gerät zu sperren, klicken Sie auf HWID-Sperre hinzufügen. Geben Sie im Dialog die MAC (im Format AA:BB:CC:DD:EE:FF), einen erforderlichen Grund und eine optionale Notiz ein und klicken Sie dann auf Sperre hinzufügen. Der Server löst die MAC zum Geräte-Fingerabdruck auf und speichert die Sperre. Mit Abbrechen schließen Sie den Dialog, ohne zu speichern.

Um eine Sperre aufzuheben, verwenden Sie die Entfernen-Aktion in der Zeile (Sperre entfernen). Die Schaltfläche Aktualisieren lädt die Liste neu. Wenn keine Sperren bestehen, zeigt die Tabelle Keine HWID-Sperren.

Steam VAC

Der Reiter Steam VAC prüft die verknüpften Steam-Konten der Mitglieder über die Steam Web API auf VAC-Sperren.

Geben Sie Ihren Schlüssel im Feld Steam Web API Key ein und klicken Sie auf Speichern. Der Hinweis lautet: Erforderlich für die Abfrage von VAC-Sperren. Sie erhalten einen unter steamcommunity.com/dev/apikey.

Unter VAC-Sweep führt die Schaltfläche Jetzt scannen einen manuellen Durchlauf aus. Der Durchlauf prüft das Steam-Konto jedes verknüpften Mitglieds auf VAC-Sperren und läuft automatisch täglich. Die Schaltfläche Jetzt scannen ist deaktiviert, bis ein Steam Web API Key gespeichert wurde. Der Statustext zeigt die Zeit des Letzten Durchlaufs oder Noch nie durchlaufen, falls noch kein Durchlauf stattgefunden hat.

Client-Sicherheitskonfiguration

Die Seite mit den Client-Sicherheitseinstellungen steuert, welche Schutzmaßnahmen jeder Client-PC anwendet. Sie ist in Prozesshärtung und Manipulationsüberwachung unterteilt.

Verwenden Sie den Hauptschalter Client-Sicherheitsschutz aktivieren, um das gesamte System ein- oder auszuschalten. Wenn er deaktiviert ist, wendet der Client keine Prozesshärtung an und führt keine Sonden der Manipulationsüberwachung aus. Ein Banner unter dem Schalter weist darauf hin, dass die Binärdateien von HandyCafe Client, Server und Watchdog stets auf der Positivliste stehen und von den Schutzmaßnahmen niemals markiert werden. Die detaillierten Abschnitte erscheinen nur, wenn der Hauptschalter eingeschaltet ist.

Dies ist eine Unterseite der Einstellungen. Änderungen werden mit der seitenübergreifenden Schaltfläche Speichern übernommen, nicht über eine separate Schaltfläche innerhalb des Abschnitts.

Prozesshärtung

Die Prozesshärtung wendet beim Start des Clients Richtlinien zur Selbsthärtung des Prozesses an. Jeder Schalter trägt ein Risiko-Abzeichen (GERINGES RISIKO, MITTLERES RISIKO oder HOHES RISIKO) und einen Tooltip, der seine Wirkung beschreibt. Verfügbare Optionen:

  • Speicherschutz (DACL): Ersetzt die DACL des eigenen Prozesses, sodass Nicht-Admin-Token den Lese-, Schreib- und Thread-Zugriff verlieren. Blockiert das standardmäßige Anhängen von Cheat Engine.
  • DEP dauerhaft: Hält Data Execution Prevention dauerhaft aktiv, sodass Stack und Heap nicht ausführbar bleiben.
  • Dynamischen Code verbieten (HOHES RISIKO): Blockiert JIT und ausführbare Allokationen. Kann auf manchen Systemen den Shader-JIT des GPU-Treibers stören und dazu führen, dass Bildschirmaufnahme und Fernsteuerung fehlschlagen.
  • AppLocker/WDAC-Signaturrichtlinie (MITTLERES RISIKO): Bindet den Prozess in Ihre bestehenden AppLocker- oder WDAC-Regeln zur Binärsignaturprüfung ein.
  • DLL-Ladefilter (MITTLERES RISIKO): Blockiert das Laden von DLLs aus Remote-Images, bevorzugt System32 und blockiert Images mit niedriger Integrität. Kann manche Hersteller-Overlays stören.
  • AppInit_DLLs / IME blockieren: Blockiert die Injektionsvektoren AppInit_DLLs, IME und Winsock LSP.
  • Strenge Handle-Prüfung (HOHES RISIKO): Löst bei fehlerhafter Handle-Nutzung einen Fehler aus. Ein Handle-Hygiene-Bug in einer beliebigen Drittanbieter-Bibliothek bringt den Prozess zum Absturz.
  • Linux: ptrace blockieren: Verhindert ptrace und das Anhängen eines Debuggers für Nicht-Root-Benutzer unter Linux.
  • macOS: Debugger-Anhängen verweigern: Verweigert unter macOS jedes nachträgliche Anhängen eines Debuggers.

Manipulationsüberwachung

Die Manipulationsüberwachung führt im Hintergrund Sonden aus, die in zufälligen Abständen nach Cheat-Tools, Debuggern und Injektoren suchen. Erkennungen erscheinen im Reiter Manipulationsereignisse. Verfügbare Sonden:

  • Erkennung von Cheat Engine / Speichereditoren: Sucht nach Cheat Engine, ArtMoney, MHS, ReClass und ähnlichen Wert-Scanner-Prozessen.
  • Erkennung von Debuggern / RE-Tools (x64dbg, IDA, Ghidra): Erkennt Reverse-Engineering-Tools.
  • Erkennung von Code-Injektoren (Process Hacker, Scylla): Erkennt Code-Injektoren wie Process Hacker, Scylla und kdmapper.
  • Erkennung kommerzieller Spiel-Cheats (neverlose, aimware usw.): Gleicht bekannte kommerzielle Spiel-Cheat-Prozessnamen ab und führt DNS-Abfragen für deren Domains durch.
  • Prüfung auf verdächtige Treiber: Erkennt den Missbrauch anfälliger Treiber. Hinweis: RTCore64 wird auch von MSI Afterburner verwendet, was zu Falschmeldungen führen kann.
  • Anti-Debug-Sonde: Prüft gängige APIs zur Debugger-Erkennung und Hardware-Breakpoints.
  • Integritätsprüfung der ausführbaren Datei (SHA-256): Berechnet bei jedem Durchlauf den Hash der eigenen ausführbaren Datei, um ein Patchen auf der Festplatte zu erkennen.
  • Signaturprüfung (WinVerifyTrust): Überprüft die Authenticode-Signatur. Halten Sie dies für unsignierte Beta-Builds deaktiviert.
  • Überwachung von DNS-Abfragen (Cheat-Domain-Sperrliste): Wertet den DNS-Cache auf bekannte Cheat-Anbieter-Domains aus.
  • Prüfung von Fenstertiteln: Durchsucht Fenstertitel, um Cheat-Prozesse zu erfassen, die ihre Binärdatei umbenennen, um der namensbasierten Erkennung zu entgehen.

Sondenintervalle

Die Felder Minimales Scan-Intervall (Sekunden) und Maximales Scan-Intervall (Sekunden) steuern, wie oft die Sonden der Manipulationsüberwachung laufen. Der Client wählt für jeden Durchlauf ein zufälliges Intervall zwischen diesen beiden Werten. Der zulässige Bereich liegt zwischen 30 und 3600 Sekunden und der Minimalwert muss kleiner oder gleich dem Maximalwert sein. Sind die Werte ungültig, zeigt die Seite die Meldung: Das minimale Intervall muss kleiner oder gleich dem maximalen Intervall sein, und das Speichern wird blockiert, bis Sie die Werte korrigieren.