HandyCafe Docs
owner it-admin

Безбедност и спречување измами

HandyCafe вклучува систем за спречување измами и безбедност на клиентите наменет за операторот. Тој се состои од два дела: панелот Безбедност каде што ги следите откриените случаи и управувате со забраните, и страницата со безбедносни поставки каде што конфигурирате кои заштити работат на клиентските PCs. Користете го за да ги зацврстите клиентските процеси, да откривате алатки за измама и дебагери, да забранувате уреди по хардверски отпечаток и да ги проверувате поврзаните Steam сметки за VAC забрани.

Панел за безбедност

Панелот Безбедност е организиран во три јазичиња: Настани за нарушување, HWID црна листа и Steam VAC. Кликнете на јазиче на врвот на панелот за да префрлите помеѓу нив.

Настани за нарушување

Јазичето Настани за нарушување прикажува историја на откриени случаи за спречување измами пријавени од клиентските PCs. Секој ред наведува Време, Компјутер (пријателско име со MAC адресата прикажана подолу), категорија на Настан, Сериозност и Опис на разбирлив јазик за тоа што е откриено.

Користете го редот за филтрирање на врвот за да ја стесните листата. Можете да изберете датум (приказот стандардно покажува денес и повторно повлекува податоци кога ќе го промените), да изберете категорија, да изберете сериозност (Критично, Предупредување или Информација) и да внесете текст во полето Пребарување по компјутер или MAC. Копчето Освежи ги вчитува настаните повторно. Бројачот покрај филтрите покажува колку настани одговараат на тековните филтри од вкупно вчитаните.

Категориите на настани вклучуваат Скенирање на процеси, Скенирање на прозорци, Скенирање на драјвери, Дебагер, Уредувач на меморија, Инјектор, Измама во игра, Интегритет на бинарни датотеки, Потпис на кодот, Надзор на DNS и Манипулација со време. Кога нема откриени случаи за избраниот датум, панелот прикажува Нема настани за нарушување на овој датум.

HWID црна листа

Јазичето HWID црна листа ги наведува уредите што се забранети по хардверски отпечаток (HWID хеш). Табелата го прикажува HWID хеш, Примерок MAC, Причина, Белешка и Време. Бројачот на врвот покажува колку забрани постојат.

За да забраните уред, кликнете на Додај HWID забрана. Во дијалогот внесете MAC (форматиран како AA:BB:CC:DD:EE:FF), задолжителна Причина и изборна Белешка, потоа кликнете на Додај забрана. Серверот ја разрешува MAC адресата до отпечатокот на уредот и ја запишува забраната. Користете Откажи за да го затворите дијалогот без зачувување.

За да укинете забрана, користете ја акцијата за отстранување на редот (Отстрани забрана). Копчето Освежи ја вчитува листата повторно. Кога нема забрани, табелата прикажува Нема HWID забрани.

Steam VAC

Јазичето Steam VAC ги проверува поврзаните Steam сметки на членовите за VAC забрани преку Steam Web API.

Внесете го вашиот клуч во полето Steam Web API клуч и кликнете на Зачувај. Совет гласи: Потребно за пребарување на VAC забрани. Земете го од steamcommunity.com/dev/apikey.

Под VAC проверка, копчето Скенирај сега извршува рачна проверка. Проверката ја испитува Steam сметката на секој поврзан член за VAC забрани и автоматски се извршува секојдневно. Копчето Скенирај сега е оневозможено сè додека не се зачува Steam Web API клуч. Текстот за статус го покажува времето на Последна проверка, или Сè уште не е скенирано ако досега не е извршена проверка.

Конфигурација на безбедноста на клиентот

Страницата со безбедносни поставки на клиентот контролира кои заштити ги применува секој клиентски PC. Таа е поделена на Зацврстување на процеси и Монитор за нарушување.

Користете го главниот прекинувач Овозможи безбедносна заштита на клиентот за да го вклучите или исклучите целиот систем. Кога е оневозможен, клиентот не применува зацврстување на процеси и не извршува сонди на мониторот за нарушување. Банер под прекинувачот напоменува дека бинарните датотеки на HandyCafe Client, Server и Watchdog секогаш се на белата листа и заштитите никогаш нема да ги означат. Деталните секции се појавуваат само кога главниот прекинувач е вклучен.

Ова е подстраница со поставки. Промените се потврдуваат со копчето Зачувај на ниво на страница, не со посебно копче во рамките на секцијата.

Зацврстување на процеси

Зацврстување на процеси применува политики за самозацврстување на процесите при стартување на клиентот. Секој прекинувач носи ознака за ризик (НИЗОК РИЗИК, СРЕДЕН РИЗИК или ВИСОК РИЗИК) и совет што опишува што прави. Достапни опции:

  • Заштита на меморијата (DACL): Го заменува DACL на сопствениот процес така што токени без администраторски права губат пристап за читање, пишување и нишки. Блокира стандардно прикачување на Cheat Engine.
  • DEP трајно: Го одржува Data Execution Prevention трајно така што магацинот и купот остануваат неизвршливи.
  • Забрани динамичен код (ВИСОК РИЗИК): Блокира JIT и извршливи алокации. Може да го прекине шејдер JIT на GPU драјверот на некои системи и да предизвика снимањето на екранот и далечинската контрола да не успеат.
  • AppLocker/WDAC политика за потпис (СРЕДЕН РИЗИК): Го вклучува процесот во вашите постоечки AppLocker или WDAC правила за потпис на бинарни датотеки.
  • Филтер за вчитување на DLL (СРЕДЕН РИЗИК): Блокира вчитување на DLL од далечинска слика, претпочита System32 и блокира слики со низок интегритет. Може да прекине некои преклопувања од производители.
  • Блокирај AppInit_DLLs / IME: Ги блокира векторите за инјекција AppInit_DLLs, IME и Winsock LSP.
  • Строга проверка на ракувачи (ВИСОК РИЗИК): Подига грешка при погрешна употреба на ракувач. Грешка во хигиената на ракувачите во која било библиотека од трета страна ќе го сруши процесот.
  • Linux: блокирај ptrace: Спречува прикачување на ptrace и дебагер за корисници без root на Linux.
  • macOS: одбиј прикачување на дебагер: Одбива секое последователно прикачување на дебагер на macOS.

Монитор за нарушување

Монитор за нарушување извршува позадински сонди што скенираат за алатки за измама, дебагери и инјектори во случајни интервали. Откриените случаи се појавуваат во јазичето Настани за нарушување. Достапни сонди:

  • Откривање на Cheat Engine / уредувач на меморија: Скенира за Cheat Engine, ArtMoney, MHS, ReClass и слични процеси за скенирање вредности.
  • Откривање на дебагер / RE алатка (x64dbg, IDA, Ghidra): Открива алатки за реверзно инженерство.
  • Откривање на инјектор на код (Process Hacker, Scylla): Открива инјектори на код како Process Hacker, Scylla и kdmapper.
  • Откривање на брендови измами за игри (neverlose, aimware, итн.): Се совпаѓа со познати имиња на процеси на комерцијални измами за игри и врши DNS пребарувања за нивните домени.
  • Скенирање на сомнителни драјвери: Открива злоупотреба на ранливи драјвери. Забелешка: RTCore64 исто така го користи MSI Afterburner, што може да предизвика лажни позитивни резултати.
  • Сонда против дебагирање: Проверува вообичаени API за присуство на дебагер и хардверски точки на прекин.
  • Проверка на интегритет на извршливата датотека (SHA-256): Ја хешира сопствената извршлива датотека при секоја проверка за да открие закрпување на дискот.
  • Верификација на потпис (WinVerifyTrust): Го верификува Authenticode потписот. Држете го ова оневозможено за непотпишани бета верзии.
  • Надзор на DNS барања (црна листа на домени за измами): Го анализира DNS кешот за познати домени на производители на измами.
  • Скенирање на наслов на прозорец: Скенира наслови на прозорци за да фати процеси за измама што ја преименуваат својата бинарна датотека за да избегнат откривање по име.

Интервали на сонди

Полињата Минимален интервал на скенирање (секунди) и Максимален интервал на скенирање (секунди) контролираат колку често се извршуваат сондите на мониторот за нарушување. Клиентот избира случаен интервал помеѓу овие две вредности за секоја проверка. Дозволениот опсег е од 30 до 3600 секунди и минимумот мора да биде помал или еднаков на максимумот. Ако вредностите се неважечки, страницата ја прикажува пораката: Минималниот интервал мора да биде помал или еднаков на максималниот, и зачувувањето е блокирано сè додека не ги поправите.