HandyCafe Docs
owner it-admin

Безопасность и защита от читов

HandyCafe включает операторскую систему защиты от читов и безопасности клиента. Она состоит из двух частей: панели Безопасность, где вы отслеживаете обнаружения и управляете блокировками, и страницы настроек безопасности, где вы настраиваете, какие средства защиты работают на клиентских ПК. Используйте ее для усиления защиты клиентских процессов, обнаружения читерских инструментов и отладчиков, блокировки устройств по аппаратному отпечатку и проверки привязанных аккаунтов Steam на наличие банов VAC.

Панель безопасности

Панель Безопасность разделена на три вкладки: События вмешательства, Черный список HWID и Steam VAC. Нажмите на вкладку в верхней части панели для переключения между ними.

События вмешательства

Вкладка События вмешательства показывает историю обнаружений защиты от читов, о которых сообщили клиентские ПК. Каждая строка содержит Время, Компьютер (понятное имя с MAC-адресом под ним), категорию Событие, Серьезность и понятное Описание обнаруженного.

Используйте строку фильтров вверху для сужения списка. Можно выбрать дату (по умолчанию отображается сегодняшний день, а при изменении даты данные загружаются заново), выбрать категорию, выбрать серьезность (Критическая, Предупреждение или Информация) и ввести запрос в поле Поиск по компьютеру или MAC. Кнопка Обновить перезагружает события. Счетчик рядом с фильтрами показывает, сколько событий соответствует текущим фильтрам из общего числа загруженных.

Категории событий включают Сканирование процессов, Сканирование окон, Сканирование драйверов, Отладчик, Редактор памяти, Инжектор, Игровой чит, Целостность бинарного файла, Подпись кода, Наблюдение за DNS и Подмена времени. Если для выбранной даты обнаружений нет, панель показывает Нет событий вмешательства на эту дату.

Черный список HWID

Вкладка Черный список HWID перечисляет устройства, заблокированные по аппаратному отпечатку (хеш HWID). Таблица показывает Хеш HWID, Пример MAC, Причину, Примечание и Время. Счетчик вверху показывает, сколько блокировок существует.

Чтобы заблокировать устройство, нажмите Добавить блокировку HWID. В диалоге введите MAC (в формате AA:BB:CC:DD:EE:FF), обязательную Причину и необязательное Примечание, затем нажмите Добавить блокировку. Сервер сопоставляет MAC с отпечатком устройства и записывает блокировку. Используйте Отмена, чтобы закрыть диалог без сохранения.

Чтобы снять блокировку, используйте действие удаления в строке (Снять блокировку). Кнопка Обновить перезагружает список. Если блокировок нет, таблица показывает Нет блокировок HWID.

Steam VAC

Вкладка Steam VAC проверяет привязанные аккаунты Steam участников на наличие банов VAC через Steam Web API.

Введите свой ключ в поле Ключ Steam Web API и нажмите Сохранить. Подсказка гласит: требуется для проверок банов VAC. Получите его на steamcommunity.com/dev/apikey.

В разделе Проверка VAC кнопка Сканировать сейчас запускает ручную проверку. Проверка анализирует аккаунт Steam каждого привязанного участника на наличие банов VAC и выполняется автоматически ежедневно. Кнопка Сканировать сейчас недоступна, пока не сохранен ключ Steam Web API. Текст статуса показывает время Последней проверки или Проверка еще не выполнялась, если ни одна проверка не запускалась.

Конфигурация безопасности клиента

Страница настроек безопасности клиента управляет тем, какие средства защиты применяет каждый клиентский ПК. Она разделена на Усиление защиты процессов и Монитор вмешательства.

Используйте главный переключатель Включить защиту безопасности клиента, чтобы включить или выключить всю систему. Когда он выключен, клиент не применяет усиление защиты процессов и не запускает зонды монитора вмешательства. Баннер под переключателем отмечает, что бинарные файлы HandyCafe Client, Server и Watchdog всегда находятся в белом списке, и средства защиты никогда их не отметят. Подробные разделы появляются только при включенном главном переключателе.

Это подстраница настроек. Изменения применяются кнопкой Сохранить на уровне страницы, а не отдельной кнопкой внутри раздела.

Усиление защиты процессов

Усиление защиты процессов применяет политики самозащиты процесса при запуске клиента. Каждый переключатель имеет значок риска (НИЗКИЙ РИСК, СРЕДНИЙ РИСК или ВЫСОКИЙ РИСК) и подсказку с описанием его действия. Доступные параметры:

  • Защита памяти (DACL): заменяет DACL собственного процесса, чтобы токены без прав администратора теряли доступ на чтение, запись и к потокам. Блокирует стандартное подключение Cheat Engine.
  • DEP постоянно: сохраняет Data Execution Prevention постоянным, чтобы стек и куча оставались неисполняемыми.
  • Запретить динамический код (ВЫСОКИЙ РИСК): блокирует JIT и выделение исполняемой памяти. Может нарушить JIT-компиляцию шейдеров драйвера GPU на некоторых системах и привести к сбою захвата экрана и удаленного управления.
  • Политика подписи AppLocker/WDAC (СРЕДНИЙ РИСК): подключает процесс к вашим существующим правилам подписи бинарных файлов AppLocker или WDAC.
  • Фильтр загрузки DLL (СРЕДНИЙ РИСК): блокирует загрузку DLL из удаленных образов, отдает предпочтение System32 и блокирует образы с низким уровнем целостности. Может нарушить работу некоторых оверлеев производителей.
  • Блокировать AppInit_DLLs / IME: блокирует векторы инъекции AppInit_DLLs, IME и Winsock LSP.
  • Строгая проверка дескрипторов (ВЫСОКИЙ РИСК): вызывает ошибку при неправильном использовании дескриптора. Ошибка гигиены дескрипторов в любой сторонней библиотеке приведет к сбою процесса.
  • Linux: блокировать ptrace: предотвращает ptrace и подключение отладчика для пользователей без прав root в Linux.
  • macOS: запретить подключение отладчика: отклоняет любое последующее подключение отладчика в macOS.

Монитор вмешательства

Монитор вмешательства запускает фоновые зонды, которые сканируют систему на наличие читерских инструментов, отладчиков и инжекторов через случайные интервалы. Обнаружения появляются на вкладке События вмешательства. Доступные зонды:

  • Обнаружение Cheat Engine / редактора памяти: сканирует процессы Cheat Engine, ArtMoney, MHS, ReClass и аналогичные сканеры значений.
  • Обнаружение отладчиков / RE-инструментов (x64dbg, IDA, Ghidra): обнаруживает инструменты обратной разработки.
  • Обнаружение инжекторов кода (Process Hacker, Scylla): обнаруживает инжекторы кода, такие как Process Hacker, Scylla и kdmapper.
  • Обнаружение брендов игровых читов (neverlose, aimware и др.): сопоставляет известные имена процессов коммерческих игровых читов и выполняет DNS-запросы их доменов.
  • Сканирование подозрительных драйверов: обнаруживает злоупотребление уязвимыми драйверами. Примечание: RTCore64 также используется MSI Afterburner, что может вызывать ложные срабатывания.
  • Зонд защиты от отладки: проверяет распространенные API определения присутствия отладчика и аппаратные точки останова.
  • Проверка целостности исполняемого файла (SHA-256): хеширует собственный исполняемый файл при каждой проверке для обнаружения исправлений на диске.
  • Проверка подписи (WinVerifyTrust): проверяет подпись Authenticode. Оставьте отключенным для неподписанных бета-сборок.
  • Мониторинг DNS-запросов (черный список читерских доменов): анализирует кэш DNS на наличие известных доменов поставщиков читов.
  • Сканирование заголовков окон: сканирует заголовки окон, чтобы выявить читерские процессы, которые переименовывают свой бинарный файл для обхода обнаружения по имени.

Интервалы зондов

Поля Мин. интервал сканирования (секунды) и Макс. интервал сканирования (секунды) управляют тем, как часто запускаются зонды монитора вмешательства. Клиент выбирает случайный интервал между этими двумя значениями для каждой проверки. Допустимый диапазон составляет от 30 до 3600 секунд, и минимум должен быть меньше или равен максимуму. Если значения недопустимы, страница показывает сообщение: минимальный интервал должен быть меньше или равен максимальному, и сохранение блокируется до их исправления.