HandyCafe Docs
owner it-admin

ความปลอดภัยและการป้องกันโกง

HandyCafe มาพร้อมระบบป้องกันการโกงสำหรับผู้ดูแลและระบบความปลอดภัยของไคลเอนต์ ระบบนี้มีสองส่วน ได้แก่ แผง Security ที่ใช้เฝ้าดูการตรวจจับและจัดการการแบน และหน้าการตั้งค่าความปลอดภัยที่ใช้กำหนดว่าจะให้การป้องกันแบบใดทำงานบนเครื่อง PC ลูกข่าย ใช้ระบบนี้เพื่อเสริมความแข็งแกร่งให้กระบวนการของไคลเอนต์ ตรวจจับเครื่องมือโกงและดีบักเกอร์ แบนอุปกรณ์ตามลายนิ้วมือฮาร์ดแวร์ และตรวจสอบบัญชี Steam ที่เชื่อมโยงว่าโดนแบน VAC หรือไม่

แผง Security

แผง Security แบ่งออกเป็นสามแท็บ ได้แก่ Tamper Events, HWID Blacklist และ Steam VAC คลิกแท็บที่ด้านบนของแผงเพื่อสลับระหว่างแท็บเหล่านี้

Tamper Events

แท็บ Tamper Events แสดงประวัติการตรวจจับของระบบป้องกันโกงที่เครื่อง PC ลูกข่ายรายงานเข้ามา แต่ละแถวจะแสดง Time, Computer (ชื่อที่อ่านง่ายพร้อมที่อยู่ MAC แสดงอยู่ด้านล่าง), หมวดของ Event, ระดับ Severity และ Description ที่อธิบายด้วยภาษาทั่วไปว่าตรวจพบอะไร

ใช้แถวตัวกรองด้านบนเพื่อจำกัดรายการ คุณสามารถเลือกวันที่ (มุมมองตั้งค่าเริ่มต้นเป็นวันนี้และจะดึงข้อมูลใหม่เมื่อคุณเปลี่ยนวันที่), เลือกหมวด, เลือกระดับความรุนแรง (Critical, Warning หรือ Info) และพิมพ์ในช่อง Search by computer or MAC ปุ่ม Refresh จะโหลดเหตุการณ์ใหม่ ตัวนับข้างตัวกรองจะแสดงว่ามีเหตุการณ์ตรงกับตัวกรองปัจจุบันกี่รายการจากทั้งหมดที่โหลดมา

หมวดของเหตุการณ์ ได้แก่ Process scan, Window scan, Driver scan, Debugger, Memory editor, Injector, Game cheat, Binary integrity, Code signature, DNS watch และ Time tampering เมื่อไม่มีการตรวจจับในวันที่เลือก แผงจะแสดงข้อความ No tamper events on this date

HWID Blacklist

แท็บ HWID Blacklist แสดงรายการอุปกรณ์ที่ถูกแบนตามลายนิ้วมือฮาร์ดแวร์ (HWID hash) ตารางจะแสดง HWID hash, Sample MAC, Reason, Note และ Time ตัวนับด้านบนจะแสดงว่ามีการแบนอยู่กี่รายการ

หากต้องการแบนอุปกรณ์ ให้คลิก Add HWID Ban ในกล่องโต้ตอบ ป้อน MAC (รูปแบบเช่น AA:BB:CC:DD:EE:FF), Reason ที่จำเป็นต้องกรอก และ Note ที่จะกรอกหรือไม่ก็ได้ แล้วคลิก Add ban เซิร์ฟเวอร์จะแปลง MAC ให้เป็นลายนิ้วมือของอุปกรณ์และบันทึกการแบน ใช้ Cancel เพื่อปิดกล่องโต้ตอบโดยไม่บันทึก

หากต้องการยกเลิกการแบน ให้ใช้การกระทำลบบนแถวนั้น (Remove ban) ปุ่ม Refresh จะโหลดรายการใหม่ เมื่อไม่มีการแบน ตารางจะแสดงข้อความ No HWID bans

Steam VAC

แท็บ Steam VAC จะตรวจสอบบัญชี Steam ของสมาชิกที่เชื่อมโยงไว้ว่าโดนแบน VAC หรือไม่ โดยใช้ Steam Web API

ป้อนคีย์ของคุณในช่อง Steam Web API Key แล้วคลิก Save คำแนะนำระบุว่า จำเป็นสำหรับการตรวจสอบการแบน VAC รับคีย์ได้จาก steamcommunity.com/dev/apikey

ภายใต้ VAC Sweep ปุ่ม Scan now จะรันการกวาดตรวจด้วยมือ การกวาดตรวจจะตรวจสอบบัญชี Steam ของสมาชิกที่เชื่อมโยงทุกคนว่าโดนแบน VAC หรือไม่ และจะทำงานอัตโนมัติทุกวัน ปุ่ม Scan now จะถูกปิดใช้งานจนกว่าจะมีการบันทึก Steam Web API key ข้อความสถานะจะแสดงเวลา Last sweep หรือ Never swept yet หากยังไม่เคยมีการกวาดตรวจเลย

การกำหนดค่าความปลอดภัยของไคลเอนต์

หน้าการตั้งค่าความปลอดภัยของไคลเอนต์ควบคุมว่าเครื่อง PC ลูกข่ายแต่ละเครื่องจะใช้การป้องกันแบบใด หน้านี้แบ่งออกเป็น Process Hardening และ Tamper Monitor

ใช้สวิตช์หลัก Enable client security protection เพื่อเปิดหรือปิดทั้งระบบ เมื่อปิดใช้งาน ไคลเอนต์จะไม่ใช้การเสริมความแข็งแกร่งของกระบวนการ และจะไม่รันโพรบของ tamper monitor เลย แบนเนอร์ใต้สวิตช์ระบุว่าไฟล์ไบนารีของ HandyCafe Client, Server และ Watchdog จะอยู่ในรายการอนุญาตเสมอ และการป้องกันจะไม่ตั้งธงเตือนไฟล์เหล่านี้ ส่วนรายละเอียดจะปรากฏก็ต่อเมื่อเปิดสวิตช์หลักเท่านั้น

หน้านี้เป็นหน้าย่อยของการตั้งค่า การเปลี่ยนแปลงจะถูกบันทึกด้วยปุ่ม Save ระดับหน้า ไม่ใช่ปุ่มแยกภายในส่วนนั้น

Process Hardening

Process Hardening จะใช้นโยบายเสริมความแข็งแกร่งของกระบวนการตอนที่ไคลเอนต์เริ่มทำงาน แต่ละสวิตช์จะมีป้ายระดับความเสี่ยง (LOW RISK, MEDIUM RISK หรือ HIGH RISK) และทูลทิปอธิบายว่าทำอะไร ตัวเลือกที่มี:

  • Memory protection (DACL): แทนที่ DACL ของกระบวนการตัวเองเพื่อให้โทเคนที่ไม่ใช่แอดมินเสียสิทธิ์การอ่าน เขียน และเข้าถึงเธรด บล็อกการ attach ของ Cheat Engine แบบมาตรฐาน
  • DEP permanent: คงค่า Data Execution Prevention ให้ถาวร เพื่อให้สแตกและฮีปยังคงไม่สามารถรันได้
  • Prohibit dynamic code (HIGH RISK): บล็อก JIT และการจัดสรรหน่วยความจำแบบรันได้ อาจทำให้ shader JIT ของไดรเวอร์ GPU บางระบบเสีย และทำให้การจับภาพหน้าจอและการควบคุมระยะไกลล้มเหลว
  • AppLocker/WDAC signature policy (MEDIUM RISK): นำกระบวนการเข้าสู่กฎลายเซ็นไบนารีของ AppLocker หรือ WDAC ที่คุณมีอยู่แล้ว
  • DLL load filter (MEDIUM RISK): บล็อกการโหลด DLL จากอิมเมจระยะไกล เลือกใช้ System32 ก่อน และบล็อกอิมเมจที่มีระดับความเชื่อถือต่ำ อาจทำให้โอเวอร์เลย์ของผู้ผลิตบางรายเสีย
  • Block AppInit_DLLs / IME: บล็อกช่องทางการ inject ผ่าน AppInit_DLLs, IME และ Winsock LSP
  • Strict handle check (HIGH RISK): จะเกิดข้อผิดพลาดเมื่อมีการใช้ handle ที่ผิด บั๊กเรื่องการจัดการ handle ในไลบรารีของบุคคลที่สามจะทำให้กระบวนการแครช
  • Linux: block ptrace: ป้องกัน ptrace และการ attach ของดีบักเกอร์สำหรับผู้ใช้ที่ไม่ใช่ root บน Linux
  • macOS: deny debugger attach: ปฏิเสธการ attach ของดีบักเกอร์ที่เกิดขึ้นภายหลังทั้งหมดบน macOS

Tamper Monitor

Tamper Monitor จะรันโพรบเบื้องหลังที่คอยสแกนหาเครื่องมือโกง ดีบักเกอร์ และตัว inject ในช่วงเวลาสุ่ม การตรวจจับจะปรากฏในแท็บ Tamper Events โพรบที่มี:

  • Cheat Engine / memory editor detection: สแกนหากระบวนการของ Cheat Engine, ArtMoney, MHS, ReClass และตัวสแกนค่าที่คล้ายกัน
  • Debugger / RE tool detection (x64dbg, IDA, Ghidra): ตรวจจับเครื่องมือ reverse engineering
  • Code injector detection (Process Hacker, Scylla): ตรวจจับตัว inject โค้ด เช่น Process Hacker, Scylla และ kdmapper
  • Game cheat brand detection (neverlose, aimware, etc.): จับคู่ชื่อกระบวนการของโปรแกรมโกงเกมเชิงพาณิชย์ที่รู้จัก และทำการ lookup DNS ของโดเมนเหล่านั้น
  • Suspicious driver scan: ตรวจจับการใช้ไดรเวอร์ที่มีช่องโหว่ในทางที่ผิด หมายเหตุ: RTCore64 ยังถูกใช้โดย MSI Afterburner ซึ่งอาจทำให้เกิดการแจ้งเตือนผิดพลาด
  • Anti-debug probe: ตรวจสอบ API ที่ใช้บอกการมีอยู่ของดีบักเกอร์ที่พบบ่อย และฮาร์ดแวร์ breakpoint
  • Executable integrity check (SHA-256): คำนวณแฮชของไฟล์ executable ตัวเองในทุกรอบการกวาด เพื่อตรวจจับการแก้ไขไฟล์บนดิสก์
  • Signature verification (WinVerifyTrust): ตรวจสอบลายเซ็น Authenticode ปิดตัวเลือกนี้ไว้สำหรับบิวด์เบต้าที่ยังไม่ได้เซ็นลายเซ็น
  • DNS query monitoring (cheat domain blacklist): แยกวิเคราะห์แคช DNS เพื่อหาโดเมนของผู้ผลิตโปรแกรมโกงที่รู้จัก
  • Window title scan: สแกนชื่อหน้าต่างเพื่อจับกระบวนการโกงที่เปลี่ยนชื่อไฟล์ไบนารีเพื่อหลบเลี่ยงการตรวจจับตามชื่อ

ช่วงเวลาของโพรบ

ช่อง Min scan interval (seconds) และ Max scan interval (seconds) จะควบคุมความถี่ในการรันโพรบของ tamper monitor ไคลเอนต์จะสุ่มช่วงเวลาระหว่างสองค่านี้สำหรับการกวาดแต่ละรอบ ช่วงที่อนุญาตคือ 30 ถึง 3600 วินาที และค่าต่ำสุดต้องน้อยกว่าหรือเท่ากับค่าสูงสุด หากค่าไม่ถูกต้อง หน้าจะแสดงข้อความว่า Min interval ต้องน้อยกว่าหรือเท่ากับ max interval และการบันทึกจะถูกระงับไว้จนกว่าคุณจะแก้ไขให้ถูกต้อง