HandyCafe Docs
owner it-admin

安全与反作弊

HandyCafe 内置了一套面向运营方的反作弊与客户端安全系统。它包含两个部分:用于监控检测结果和管理封禁的安全面板,以及用于配置客户端 PC 上运行哪些防护措施的安全设置页面。您可以借此加固客户端进程、检测作弊工具和调试器、按硬件指纹封禁设备,并检查已关联的 Steam 账号是否存在 VAC 封禁。

安全面板

安全面板分为三个标签页:篡改事件HWID 黑名单Steam VAC。点击面板顶部的标签即可在它们之间切换。

篡改事件

篡改事件标签显示客户端 PC 上报的反作弊检测历史记录。每一行列出时间电脑(友好名称,下方显示 MAC 地址)、事件类别、严重程度以及对检测内容的通俗描述

使用顶部的筛选行可以缩小列表范围。您可以选择日期(视图默认显示当天,更改后会重新拉取数据)、选择类别、选择严重程度(严重警告信息),并在按电脑或 MAC 搜索框中输入内容。刷新按钮可重新加载事件。筛选条件旁的计数器显示符合当前筛选条件的事件数量在已加载总数中所占的比例。

事件类别包括进程扫描窗口扫描驱动扫描调试器内存编辑器注入器游戏作弊二进制完整性代码签名DNS 监视时间篡改。当所选日期没有任何检测记录时,面板会显示该日期没有篡改事件

HWID 黑名单

HWID 黑名单标签列出按硬件指纹(HWID 哈希)封禁的设备。表格显示 HWID 哈希样本 MAC原因备注时间。顶部的计数器显示现有封禁的数量。

要封禁某台设备,请点击添加 HWID 封禁。在对话框中输入 MAC(格式如 AA:BB:CC:DD:EE:FF)、必填的原因和可选的备注,然后点击添加封禁。服务端会将 MAC 解析为设备指纹并记录该封禁。点击取消可在不保存的情况下关闭对话框。

要解除封禁,请使用该行的移除操作(移除封禁)。刷新按钮可重新加载列表。当没有任何封禁时,表格显示没有 HWID 封禁

Steam VAC

Steam VAC 标签使用 Steam Web API 检查已关联会员的 Steam 账号是否存在 VAC 封禁。

Steam Web API Key 字段中输入您的密钥,然后点击保存。提示文字为:VAC 封禁查询所必需。请从 steamcommunity.com/dev/apikey 获取。

VAC 扫描下,立即扫描按钮可手动运行一次扫描。该扫描会检查每位已关联会员的 Steam 账号是否存在 VAC 封禁,并且每天自动运行一次。在保存 Steam Web API 密钥之前,立即扫描按钮处于禁用状态。状态文字显示上次扫描时间,若尚未运行过扫描则显示尚未扫描

客户端安全配置

客户端安全设置页面控制每台客户端 PC 应用哪些防护措施。它分为进程加固篡改监视器两部分。

使用启用客户端安全防护主开关可整体打开或关闭整套系统。关闭后,客户端不会应用任何进程加固,也不会运行任何篡改监视探测。开关下方的横幅说明 HandyCafe 客户端、服务端和 Watchdog 程序始终在白名单中,防护措施永远不会标记它们。详细的分节仅在主开关打开时才会出现。

这是一个设置子页面。更改通过页面级的保存按钮提交,而非分节内单独的按钮。

进程加固

进程加固在客户端启动时应用进程自加固策略。每个开关都带有风险标记(低风险中风险高风险)以及描述其作用的工具提示。可用选项:

  • 内存保护(DACL):替换自身进程的 DACL,使非管理员令牌失去读取、写入和线程访问权限。可阻止标准的 Cheat Engine 附加。
  • DEP 永久启用:保持数据执行保护永久开启,使栈和堆始终不可执行。
  • 禁止动态代码(高风险):阻止 JIT 和可执行内存分配。在某些系统上可能破坏 GPU 驱动的着色器 JIT,并导致屏幕捕获和远程控制失败。
  • AppLocker/WDAC 签名策略(中风险):让进程接受您现有的 AppLocker 或 WDAC 二进制签名规则。
  • DLL 加载过滤(中风险):阻止远程映像 DLL 加载,优先使用 System32,并阻止低完整性映像。可能破坏某些厂商的覆盖层。
  • 阻止 AppInit_DLLs / IME:阻止 AppInit_DLLs、IME 和 Winsock LSP 注入途径。
  • 严格句柄检查(高风险):对错误的句柄使用抛出错误。任何第三方库中的句柄卫生问题都会导致进程崩溃。
  • Linux:阻止 ptrace:阻止 Linux 上非 root 用户进行 ptrace 和调试器附加。
  • macOS:拒绝调试器附加:拒绝 macOS 上后续的任何调试器附加。

篡改监视器

篡改监视器运行后台探测,以随机间隔扫描作弊工具、调试器和注入器。检测结果会出现在篡改事件标签中。可用探测:

  • Cheat Engine / 内存编辑器检测:扫描 Cheat Engine、ArtMoney、MHS、ReClass 等数值扫描类进程。
  • 调试器 / 逆向工具检测(x64dbg、IDA、Ghidra):检测逆向工程工具。
  • 代码注入器检测(Process Hacker、Scylla):检测 Process Hacker、Scylla、kdmapper 等代码注入器。
  • 商业游戏作弊检测(neverlose、aimware 等):匹配已知的商业游戏作弊进程名,并对其域名执行 DNS 查询。
  • 可疑驱动扫描:检测易受攻击的驱动滥用。注意:RTCore64 也被 MSI Afterburner 使用,可能造成误报。
  • 反调试探测:检查常见的调试器检测 API 和硬件断点。
  • 可执行文件完整性检查(SHA-256):每次扫描时对自身可执行文件计算哈希,以检测磁盘上的补丁篡改。
  • 签名验证(WinVerifyTrust):验证 Authenticode 签名。对于未签名的测试版构建,请保持此项关闭。
  • DNS 查询监控(作弊域名黑名单):解析 DNS 缓存中已知的作弊厂商域名。
  • 窗口标题扫描:扫描窗口标题,以捕获那些通过重命名二进制文件来规避按名称检测的作弊进程。

探测间隔

**最小扫描间隔(秒)最大扫描间隔(秒)**字段控制篡改监视器探测的运行频率。客户端会在每次扫描时在这两个值之间随机选取一个间隔。允许范围为 30 到 3600 秒,且最小值必须小于或等于最大值。如果数值无效,页面会显示提示:最小间隔必须小于或等于最大间隔,在您更正之前无法保存。