HandyCafe Docs
owner it-admin

Zabezpieczenia i ochrona przed cheatami

HandyCafe zawiera operatorski system ochrony przed cheatami oraz zabezpieczeń klienta. Składa się z dwóch części: panelu Zabezpieczenia, w którym monitorujesz wykrycia i zarządzasz banami, oraz strony ustawień zabezpieczeń, gdzie konfigurujesz, jakie mechanizmy ochronne działają na komputerach klienckich. Służy do utwardzania procesów klienta, wykrywania narzędzi do oszukiwania i debuggerów, banowania urządzeń po odcisku sprzętowym oraz sprawdzania powiązanych kont Steam pod kątem banów VAC.

Panel Zabezpieczenia

Panel Zabezpieczenia jest podzielony na trzy zakładki: Zdarzenia naruszeń, Czarna lista HWID i Steam VAC. Kliknij zakładkę u góry panelu, aby przełączać się między nimi.

Zdarzenia naruszeń

Zakładka Zdarzenia naruszeń pokazuje historię wykryć ochrony przed cheatami zgłoszonych przez komputery klienckie. Każdy wiersz zawiera Czas, Komputer (przyjazną nazwę z adresem MAC wyświetlonym poniżej), kategorię Zdarzenie, Ważność oraz Opis w prostym języku informujący, co zostało wykryte.

Użyj wiersza filtrów u góry, aby zawęzić listę. Możesz wybrać datę (widok domyślnie pokazuje dzień dzisiejszy i pobiera dane ponownie po jej zmianie), wybrać kategorię, wybrać ważność (Krytyczna, Ostrzeżenie lub Informacja) oraz wpisać treść w polu Szukaj po komputerze lub MAC. Przycisk Odśwież przeładowuje zdarzenia. Licznik obok filtrów pokazuje, ile zdarzeń pasuje do bieżących filtrów spośród wszystkich załadowanych.

Kategorie zdarzeń obejmują Skan procesów, Skan okien, Skan sterowników, Debugger, Edytor pamięci, Wstrzykiwacz, Cheat do gry, Integralność binariów, Podpis kodu, Nasłuch DNS i Manipulacja czasem. Gdy dla wybranej daty nie ma żadnych wykryć, panel pokazuje Brak zdarzeń naruszeń w tej dacie.

Czarna lista HWID

Zakładka Czarna lista HWID wymienia urządzenia zbanowane po odcisku sprzętowym (skrót HWID). Tabela pokazuje Skrót HWID, Przykładowy MAC, Powód, Notatkę i Czas. Licznik u góry pokazuje, ile banów istnieje.

Aby zbanować urządzenie, kliknij Dodaj ban HWID. W oknie dialogowym wpisz MAC (w formacie AA:BB:CC:DD:EE:FF), wymagany Powód oraz opcjonalną Notatkę, a następnie kliknij Dodaj ban. Serwer rozwiązuje adres MAC na odcisk urządzenia i zapisuje ban. Użyj Anuluj, aby zamknąć okno bez zapisywania.

Aby zdjąć ban, użyj akcji usuwania w wierszu (Usuń ban). Przycisk Odśwież przeładowuje listę. Gdy nie ma żadnych banów, tabela pokazuje Brak banów HWID.

Steam VAC

Zakładka Steam VAC sprawdza powiązane konta Steam członków pod kątem banów VAC za pomocą Steam Web API.

Wpisz swój klucz w polu Klucz Steam Web API i kliknij Zapisz. Wskazówka brzmi: Wymagany do sprawdzania banów VAC. Klucz uzyskasz na steamcommunity.com/dev/apikey.

W sekcji Przegląd VAC przycisk Skanuj teraz uruchamia ręczny przegląd. Przegląd sprawdza konto Steam każdego powiązanego członka pod kątem banów VAC i działa automatycznie codziennie. Przycisk Skanuj teraz jest nieaktywny, dopóki klucz Steam Web API nie zostanie zapisany. Tekst statusu pokazuje czas Ostatni przegląd lub Jeszcze nie przeglądano, jeśli żaden przegląd nie został wykonany.

Konfiguracja zabezpieczeń klienta

Strona ustawień zabezpieczeń klienta kontroluje, jakie mechanizmy ochronne stosuje każdy komputer kliencki. Jest podzielona na Utwardzanie procesu i Monitor naruszeń.

Użyj głównego przełącznika Włącz ochronę zabezpieczeń klienta, aby włączyć lub wyłączyć cały system. Gdy jest wyłączony, klient nie stosuje żadnego utwardzania procesu i nie uruchamia żadnych sond monitora naruszeń. Baner poniżej przełącznika informuje, że binaria HandyCafe Client, Server i Watchdog są zawsze na liście dozwolonych, a mechanizmy ochronne nigdy ich nie oznaczą. Szczegółowe sekcje pojawiają się tylko wtedy, gdy główny przełącznik jest włączony.

To jest podstrona ustawień. Zmiany są zatwierdzane przyciskiem Zapisz na poziomie strony, a nie osobnym przyciskiem wewnątrz sekcji.

Utwardzanie procesu

Utwardzanie procesu stosuje polityki samodzielnego utwardzania procesu przy uruchamianiu klienta. Każdy przełącznik nosi znacznik ryzyka (NISKIE RYZYKO, ŚREDNIE RYZYKO lub WYSOKIE RYZYKO) oraz podpowiedź opisującą jego działanie. Dostępne opcje:

  • Ochrona pamięci (DACL): Zastępuje DACL własnego procesu, dzięki czemu tokeny bez uprawnień administratora tracą dostęp do odczytu, zapisu i wątków. Blokuje standardowe podłączenie Cheat Engine.
  • DEP na stałe: Utrzymuje Data Execution Prevention na stałe, aby stos i sterta pozostawały niewykonywalne.
  • Zakaz dynamicznego kodu (WYSOKIE RYZYKO): Blokuje JIT i alokacje wykonywalne. Może zepsuć JIT shaderów sterownika GPU na niektórych systemach oraz spowodować awarię przechwytywania ekranu i zdalnego sterowania.
  • Polityka podpisów AppLocker/WDAC (ŚREDNIE RYZYKO): Włącza proces do istniejących reguł podpisów binariów AppLocker lub WDAC.
  • Filtr ładowania DLL (ŚREDNIE RYZYKO): Blokuje ładowanie DLL z obrazów zdalnych, preferuje System32 oraz blokuje obrazy o niskiej integralności. Może zepsuć niektóre nakładki producentów.
  • Blokuj AppInit_DLLs / IME: Blokuje wektory wstrzykiwania AppInit_DLLs, IME i Winsock LSP.
  • Ścisła kontrola uchwytów (WYSOKIE RYZYKO): Zgłasza błąd przy nieprawidłowym użyciu uchwytu. Błąd higieny uchwytów w dowolnej bibliotece zewnętrznej spowoduje awarię procesu.
  • Linux: blokuj ptrace: Zapobiega podłączeniu ptrace i debuggera dla użytkowników bez uprawnień root na Linuksie.
  • macOS: odmów podłączenia debuggera: Odmawia każdego kolejnego podłączenia debuggera na macOS.

Monitor naruszeń

Monitor naruszeń uruchamia sondy działające w tle, które skanują w poszukiwaniu narzędzi do oszukiwania, debuggerów i wstrzykiwaczy w losowych odstępach. Wykrycia pojawiają się w zakładce Zdarzenia naruszeń. Dostępne sondy:

  • Wykrywanie Cheat Engine / edytora pamięci: Skanuje w poszukiwaniu Cheat Engine, ArtMoney, MHS, ReClass i podobnych procesów skanujących wartości.
  • Wykrywanie debuggera / narzędzi RE (x64dbg, IDA, Ghidra): Wykrywa narzędzia do inżynierii wstecznej.
  • Wykrywanie wstrzykiwacza kodu (Process Hacker, Scylla): Wykrywa wstrzykiwacze kodu takie jak Process Hacker, Scylla i kdmapper.
  • Wykrywanie marek cheatów do gier (neverlose, aimware itp.): Dopasowuje znane nazwy procesów komercyjnych cheatów do gier i wykonuje zapytania DNS dla ich domen.
  • Skan podejrzanych sterowników: Wykrywa nadużycia podatnych sterowników. Uwaga: RTCore64 jest również używany przez MSI Afterburner, co może powodować fałszywe alarmy.
  • Sonda anty-debug: Sprawdza popularne API obecności debuggera oraz sprzętowe punkty przerwań.
  • Kontrola integralności pliku wykonywalnego (SHA-256): Haszuje własny plik wykonywalny przy każdym przeglądzie, aby wykryć modyfikacje na dysku.
  • Weryfikacja podpisu (WinVerifyTrust): Weryfikuje podpis Authenticode. Pozostaw to wyłączone dla niepodpisanych kompilacji beta.
  • Monitorowanie zapytań DNS (czarna lista domen cheatów): Analizuje pamięć podręczną DNS w poszukiwaniu znanych domen dostawców cheatów.
  • Skan tytułów okien: Skanuje tytuły okien, aby wykryć procesy cheatów, które zmieniają nazwę swojego binarium w celu obejścia wykrywania po nazwie.

Interwały sond

Pola Minimalny interwał skanowania (sekundy) i Maksymalny interwał skanowania (sekundy) kontrolują, jak często uruchamiają się sondy monitora naruszeń. Klient wybiera losowy interwał między tymi dwiema wartościami dla każdego przeglądu. Dozwolony zakres to 30 do 3600 sekund, a minimum musi być mniejsze lub równe maksimum. Jeśli wartości są nieprawidłowe, strona pokazuje komunikat: Minimalny interwał musi być mniejszy lub równy maksymalnemu, a zapis jest blokowany do momentu ich poprawienia.