HandyCafe Docs
owner it-admin

Bảo Mật và Chống Gian Lận

HandyCafe đi kèm hệ thống chống gian lận và bảo mật máy khách cho người vận hành. Hệ thống gồm hai phần: bảng Bảo mật nơi bạn theo dõi các phát hiện và quản lý lệnh cấm, và trang cài đặt bảo mật nơi bạn cấu hình các lớp bảo vệ chạy trên các PC khách. Hãy dùng nó để siết chặt tiến trình máy khách, phát hiện công cụ cheat và trình gỡ lỗi, cấm thiết bị theo dấu vân tay phần cứng, và kiểm tra các tài khoản Steam đã liên kết xem có bị cấm VAC hay không.

Bảng Bảo mật

Bảng Bảo mật được chia thành ba tab: Sự kiện Can thiệp, Danh sách đen HWID, và Steam VAC. Nhấp vào một tab ở đầu bảng để chuyển qua lại giữa chúng.

Sự kiện Can thiệp

Tab Sự kiện Can thiệp hiển thị lịch sử các phát hiện chống gian lận do các PC khách báo về. Mỗi dòng liệt kê Thời gian, Máy tính (tên thân thiện kèm địa chỉ MAC hiển thị bên dưới), nhóm Sự kiện, Mức độ nghiêm trọng, và phần Mô tả bằng ngôn ngữ dễ hiểu về những gì đã bị phát hiện.

Dùng hàng bộ lọc ở phía trên để thu hẹp danh sách. Bạn có thể chọn ngày (chế độ xem mặc định là hôm nay và tải lại khi bạn đổi ngày), chọn nhóm, chọn mức độ nghiêm trọng (Nghiêm trọng, Cảnh báo, hoặc Thông tin), và gõ vào ô Tìm theo máy tính hoặc MAC. Nút Làm mới tải lại các sự kiện. Bộ đếm bên cạnh các bộ lọc cho biết có bao nhiêu sự kiện khớp với bộ lọc hiện tại trên tổng số đã tải.

Các nhóm sự kiện bao gồm Quét tiến trình, Quét cửa sổ, Quét driver, Trình gỡ lỗi, Trình chỉnh sửa bộ nhớ, Trình tiêm mã, Cheat game, Toàn vẹn nhị phân, Chữ ký mã, Giám sát DNS, và Can thiệp thời gian. Khi không có phát hiện nào cho ngày đã chọn, bảng hiển thị Không có sự kiện can thiệp vào ngày này.

Danh sách đen HWID

Tab Danh sách đen HWID liệt kê các thiết bị bị cấm theo dấu vân tay phần cứng (mã băm HWID). Bảng hiển thị Mã băm HWID, MAC mẫu, Lý do, Ghi chú, và Thời gian. Bộ đếm ở phía trên cho biết có bao nhiêu lệnh cấm đang tồn tại.

Để cấm một thiết bị, nhấp Thêm lệnh cấm HWID. Trong hộp thoại, nhập MAC (định dạng kiểu AA:BB:CC:DD:EE:FF), một Lý do bắt buộc, và một Ghi chú tùy chọn, rồi nhấp Thêm lệnh cấm. Máy chủ phân giải MAC thành dấu vân tay thiết bị và ghi nhận lệnh cấm. Dùng Hủy để đóng hộp thoại mà không lưu.

Để gỡ một lệnh cấm, dùng thao tác xóa trên dòng tương ứng (Gỡ lệnh cấm). Nút Làm mới tải lại danh sách. Khi không có lệnh cấm nào, bảng hiển thị Không có lệnh cấm HWID.

Steam VAC

Tab Steam VAC kiểm tra các tài khoản Steam đã liên kết của hội viên xem có bị cấm VAC hay không bằng cách sử dụng Steam Web API.

Nhập khóa của bạn vào trường Steam Web API Key rồi nhấp Lưu. Gợi ý ghi rõ: Bắt buộc để tra cứu lệnh cấm VAC. Lấy khóa tại steamcommunity.com/dev/apikey.

Trong mục Quét VAC, nút Quét ngay chạy một lượt quét thủ công. Lượt quét kiểm tra tài khoản Steam của mọi hội viên đã liên kết xem có bị cấm VAC hay không, và chạy tự động hằng ngày. Nút Quét ngay bị vô hiệu cho đến khi một Steam Web API Key được lưu. Dòng trạng thái hiển thị thời gian của Lượt quét gần nhất, hoặc Chưa quét lần nào nếu chưa có lượt quét nào chạy.

Cấu hình Bảo mật Máy khách

Trang cài đặt bảo mật máy khách kiểm soát những lớp bảo vệ mà mỗi PC khách áp dụng. Trang được chia thành Siết chặt Tiến trìnhGiám sát Can thiệp.

Dùng công tắc chính Bật bảo vệ bảo mật máy khách để bật hoặc tắt toàn bộ hệ thống. Khi tắt, máy khách không áp dụng siết chặt tiến trình nào và không chạy probe giám sát can thiệp nào. Một biểu ngữ bên dưới công tắc lưu ý rằng các tệp nhị phân của HandyCafe Client, Server, và Watchdog luôn nằm trong danh sách trắng và các lớp bảo vệ sẽ không bao giờ gắn cờ chúng. Các mục chi tiết chỉ xuất hiện khi công tắc chính được bật.

Đây là trang con trong cài đặt. Các thay đổi được áp dụng bằng nút Lưu ở cấp trang, không phải bằng một nút riêng trong mục.

Siết chặt Tiến trình

Siết chặt Tiến trình áp dụng các chính sách tự siết chặt tiến trình khi máy khách khởi động. Mỗi công tắc mang một huy hiệu mức rủi ro (RỦI RO THẤP, RỦI RO TRUNG BÌNH, hoặc RỦI RO CAO) và một tooltip mô tả chức năng. Các tùy chọn có sẵn:

  • Bảo vệ bộ nhớ (DACL): Thay thế DACL của chính tiến trình để các token không phải admin mất quyền đọc, ghi và truy cập luồng. Chặn việc Cheat Engine attach theo cách thông thường.
  • DEP vĩnh viễn: Giữ DEP (Data Execution Prevention) ở chế độ vĩnh viễn để stack và heap luôn không thực thi được.
  • Cấm mã động (RỦI RO CAO): Chặn JIT và cấp phát vùng nhớ thực thi. Có thể làm hỏng shader JIT của driver GPU trên một số hệ thống và khiến chụp màn hình cũng như điều khiển từ xa thất bại.
  • Chính sách chữ ký AppLocker/WDAC (RỦI RO TRUNG BÌNH): Đưa tiến trình tuân theo các quy tắc chữ ký nhị phân AppLocker hoặc WDAC hiện có của bạn.
  • Bộ lọc nạp DLL (RỦI RO TRUNG BÌNH): Chặn nạp DLL từ image từ xa, ưu tiên System32, và chặn các image mức toàn vẹn thấp. Có thể làm hỏng một số lớp phủ (overlay) của nhà cung cấp.
  • Chặn AppInit_DLLs / IME: Chặn các vector tiêm AppInit_DLLs, IME, và Winsock LSP.
  • Kiểm tra handle nghiêm ngặt (RỦI RO CAO): Báo lỗi khi sử dụng handle sai. Một lỗi vệ sinh handle trong bất kỳ thư viện bên thứ ba nào sẽ làm tiến trình sập.
  • Linux: chặn ptrace: Ngăn ptrace và việc trình gỡ lỗi attach đối với người dùng không phải root trên Linux.
  • macOS: từ chối trình gỡ lỗi attach: Từ chối mọi lần trình gỡ lỗi attach về sau trên macOS.

Giám sát Can thiệp

Giám sát Can thiệp chạy các probe nền quét tìm công cụ cheat, trình gỡ lỗi, và trình tiêm mã ở những khoảng thời gian ngẫu nhiên. Các phát hiện sẽ xuất hiện trong tab Sự kiện Can thiệp. Các probe có sẵn:

  • Phát hiện Cheat Engine / trình chỉnh sửa bộ nhớ: Quét tìm Cheat Engine, ArtMoney, MHS, ReClass, và các tiến trình quét giá trị tương tự.
  • Phát hiện trình gỡ lỗi / công cụ RE (x64dbg, IDA, Ghidra): Phát hiện các công cụ dịch ngược.
  • Phát hiện trình tiêm mã (Process Hacker, Scylla): Phát hiện các trình tiêm mã như Process Hacker, Scylla, và kdmapper.
  • Phát hiện thương hiệu cheat game (neverlose, aimware, v.v.): Khớp tên các tiến trình cheat game thương mại đã biết và thực hiện tra cứu DNS cho các tên miền của chúng.
  • Quét driver đáng ngờ: Phát hiện việc lạm dụng driver có lỗ hổng. Lưu ý: RTCore64 cũng được MSI Afterburner sử dụng, điều này có thể gây ra báo nhầm.
  • Probe chống gỡ lỗi: Kiểm tra các API phát hiện sự hiện diện của trình gỡ lỗi thông dụng và các breakpoint phần cứng.
  • Kiểm tra toàn vẹn tệp thực thi (SHA-256): Băm tệp thực thi của chính nó ở mỗi lượt quét để phát hiện việc vá tệp trên đĩa.
  • Xác minh chữ ký (WinVerifyTrust): Xác minh chữ ký Authenticode. Hãy tắt tùy chọn này cho các bản beta chưa ký.
  • Giám sát truy vấn DNS (danh sách đen tên miền cheat): Phân tích bộ nhớ đệm DNS để tìm các tên miền nhà cung cấp cheat đã biết.
  • Quét tiêu đề cửa sổ: Quét tiêu đề cửa sổ để bắt các tiến trình cheat đã đổi tên tệp nhị phân nhằm né phát hiện theo tên.

Khoảng thời gian Probe

Các trường Khoảng quét tối thiểu (giây)Khoảng quét tối đa (giây) kiểm soát tần suất chạy của các probe giám sát can thiệp. Máy khách chọn một khoảng thời gian ngẫu nhiên giữa hai giá trị này cho mỗi lượt quét. Phạm vi cho phép là 30 đến 3600 giây và giá trị tối thiểu phải nhỏ hơn hoặc bằng giá trị tối đa. Nếu các giá trị không hợp lệ, trang hiển thị thông báo: Khoảng tối thiểu phải nhỏ hơn hoặc bằng khoảng tối đa, và việc lưu bị chặn cho đến khi bạn sửa lại.