HandyCafe Docs
owner it-admin

Безпека та захист від читів

HandyCafe містить операторську систему захисту від читів і безпеки клієнтів. Вона складається з двох частин: панелі Безпека, де ви відстежуєте виявлення та керуєте банами, і сторінки налаштувань безпеки, де ви конфігуруєте, які засоби захисту працюють на клієнтських ПК. Використовуйте її для зміцнення процесів клієнта, виявлення чит-інструментів і налагоджувачів, бану пристроїв за апаратним відбитком, а також перевірки прив'язаних облікових записів Steam на VAC-бани.

Панель безпеки

Панель Безпека поділена на три вкладки: Події втручання, Чорний список HWID та Steam VAC. Натисніть вкладку вгорі панелі, щоб переключитися між ними.

Події втручання

Вкладка Події втручання показує історію виявлень захисту від читів, про які повідомили клієнтські ПК. Кожен рядок містить Час, Комп'ютер (зрозуміла назва з MAC-адресою під нею), категорію Подія, Рівень серйозності та зрозумілий Опис того, що було виявлено.

Використовуйте рядок фільтрів угорі, щоб звузити список. Ви можете вибрати дату (за замовчуванням показується сьогоднішній день, а вигляд оновлюється при зміні дати), вибрати категорію, вибрати рівень серйозності (Критичний, Попередження або Інформація) та ввести текст у поле Пошук за комп'ютером або MAC. Кнопка Оновити перезавантажує події. Лічильник поруч із фільтрами показує, скільки подій відповідає поточним фільтрам із загальної кількості завантажених.

Категорії подій включають Сканування процесів, Сканування вікон, Сканування драйверів, Налагоджувач, Редактор пам'яті, Інжектор, Ігровий чит, Цілісність бінарних файлів, Підпис коду, Спостереження за DNS та Підробка часу. Якщо для вибраної дати немає виявлень, панель показує Немає подій втручання на цю дату.

Чорний список HWID

Вкладка Чорний список HWID перелічує пристрої, забанені за апаратним відбитком (хеш HWID). Таблиця показує Хеш HWID, Зразок MAC, Причину, Примітку та Час. Лічильник угорі показує, скільки існує банів.

Щоб забанити пристрій, натисніть Додати бан HWID. У діалозі введіть MAC (у форматі AA:BB:CC:DD:EE:FF), обов'язкову Причину та необов'язкову Примітку, потім натисніть Додати бан. Сервер визначає відбиток пристрою за MAC і записує бан. Використовуйте Скасувати, щоб закрити діалог без збереження.

Щоб зняти бан, скористайтеся дією видалення в рядку (Зняти бан). Кнопка Оновити перезавантажує список. Якщо банів немає, таблиця показує Немає банів HWID.

Steam VAC

Вкладка Steam VAC перевіряє прив'язані облікові записи Steam учасників на VAC-бани за допомогою Steam Web API.

Введіть свій ключ у поле Ключ Steam Web API та натисніть Зберегти. Підказка повідомляє: потрібен для перевірки VAC-банів. Отримайте його на steamcommunity.com/dev/apikey.

У розділі Перевірка VAC кнопка Сканувати зараз запускає ручну перевірку. Перевірка аналізує обліковий запис Steam кожного прив'язаного учасника на VAC-бани та запускається автоматично щодня. Кнопка Сканувати зараз неактивна, доки не збережено ключ Steam Web API. Текст статусу показує час Останньої перевірки або Ще не перевірялося, якщо жодної перевірки не запускалося.

Конфігурація безпеки клієнта

Сторінка налаштувань безпеки клієнта контролює, які засоби захисту застосовує кожен клієнтський ПК. Вона поділена на Зміцнення процесів та Монітор втручання.

Використовуйте головний перемикач Увімкнути захист безпеки клієнта, щоб увімкнути або вимкнути всю систему. Коли він вимкнений, клієнт не застосовує зміцнення процесів і не запускає проби монітора втручання. Банер під перемикачем зазначає, що бінарні файли HandyCafe Client, Server та Watchdog завжди в білому списку, і засоби захисту ніколи не позначатимуть їх. Детальні розділи з'являються лише тоді, коли головний перемикач увімкнений.

Це підсторінка налаштувань. Зміни підтверджуються кнопкою Зберегти на рівні сторінки, а не окремою кнопкою всередині розділу.

Зміцнення процесів

Зміцнення процесів застосовує політики самозахисту процесу під час запуску клієнта. Кожен перемикач має позначку ризику (НИЗЬКИЙ РИЗИК, СЕРЕДНІЙ РИЗИК або ВИСОКИЙ РИЗИК) і підказку з описом дії. Доступні параметри:

  • Захист пам'яті (DACL): замінює DACL власного процесу так, що токени без прав адміністратора втрачають доступ на читання, запис і до потоків. Блокує стандартне під'єднання Cheat Engine.
  • DEP постійний: підтримує запобігання виконанню даних постійно увімкненим, щоб стек і купа залишалися невиконуваними.
  • Заборонити динамічний код (ВИСОКИЙ РИЗИК): блокує JIT та виконувані виділення пам'яті. Може порушити роботу JIT-компіляції шейдерів драйвера GPU на деяких системах і призвести до збою захоплення екрана та віддаленого керування.
  • Політика підписів AppLocker/WDAC (СЕРЕДНІЙ РИЗИК): підключає процес до ваших наявних правил підписів бінарних файлів AppLocker або WDAC.
  • Фільтр завантаження DLL (СЕРЕДНІЙ РИЗИК): блокує завантаження DLL з віддалених образів, надає перевагу System32 та блокує образи з низькою цілісністю. Може порушити роботу деяких оверлеїв виробників.
  • Блокувати AppInit_DLLs / IME: блокує вектори ін'єкції AppInit_DLLs, IME та Winsock LSP.
  • Сувора перевірка дескрипторів (ВИСОКИЙ РИЗИК): викликає помилку при неправильному використанні дескриптора. Помилка гігієни дескрипторів у будь-якій сторонній бібліотеці призведе до аварійного завершення процесу.
  • Linux: блокувати ptrace: запобігає під'єднанню ptrace та налагоджувача для користувачів без прав root у Linux.
  • macOS: заборонити під'єднання налагоджувача: відхиляє будь-яке наступне під'єднання налагоджувача в macOS.

Монітор втручання

Монітор втручання запускає фонові проби, які сканують на наявність чит-інструментів, налагоджувачів та інжекторів через випадкові інтервали. Виявлення з'являються на вкладці Події втручання. Доступні проби:

  • Виявлення Cheat Engine / редактора пам'яті: сканує на наявність Cheat Engine, ArtMoney, MHS, ReClass та подібних процесів сканування значень.
  • Виявлення налагоджувача / RE-інструменту (x64dbg, IDA, Ghidra): виявляє інструменти зворотної розробки.
  • Виявлення інжектора коду (Process Hacker, Scylla): виявляє інжектори коду, такі як Process Hacker, Scylla та kdmapper.
  • Виявлення брендів ігрових читів (neverlose, aimware тощо): зіставляє відомі назви процесів комерційних ігрових читів і виконує DNS-запити до їхніх доменів.
  • Сканування підозрілих драйверів: виявляє зловживання вразливими драйверами. Примітка: RTCore64 також використовується MSI Afterburner, що може спричинити хибні спрацювання.
  • Анти-налагоджувальна проба: перевіряє поширені API наявності налагоджувача та апаратні точки зупину.
  • Перевірка цілісності виконуваного файлу (SHA-256): хешує власний виконуваний файл під час кожної перевірки для виявлення модифікації на диску.
  • Перевірка підпису (WinVerifyTrust): перевіряє підпис Authenticode. Тримайте це вимкненим для непідписаних бета-збірок.
  • Моніторинг DNS-запитів (чорний список чит-доменів): аналізує кеш DNS на наявність відомих доменів постачальників читів.
  • Сканування заголовків вікон: сканує заголовки вікон, щоб виявити чит-процеси, які перейменовують свій бінарний файл для уникнення виявлення за назвою.

Інтервали проб

Поля Мінімальний інтервал сканування (секунди) та Максимальний інтервал сканування (секунди) контролюють, як часто запускаються проби монітора втручання. Клієнт вибирає випадковий інтервал між цими двома значеннями для кожної перевірки. Дозволений діапазон становить від 30 до 3600 секунд, а мінімум має бути менший або дорівнювати максимуму. Якщо значення невалідні, сторінка показує повідомлення: мінімальний інтервал має бути менший або дорівнювати максимальному, а збереження блокується, доки ви їх не виправите.