Начинающий
- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 347
- Реакции
- 7
Народ, кто плотно ковыряет античиты, вы наверняка сталкивались с тем, что стандартные спуферы часто отлетают при первом же вейве.
Вопрос HWID трекинга — это не просто смена серийника диска, это комплексная аналитика системы. Античиты сейчас парсят всё: от EDID мониторов до USN Journal ID на каждом разделе. Ниже собрал базу по самым популярным векторам сбора данных, которые юзают современные АС.
Основные векторы сбора данных:
Технические нюансы для девелоперов:
- USN Journal: Ряд античитов проверяет ID USN журнала. Лечится банальным fsutil usn deletejournal /n X:.
- Filetimes: Помните про TrustedInstaller. Чтобы спуфнуть время создания системных файлов, придется временно забрать владение.
- SetupAPI: USB-устройства кэшируются в SetupAPI логах, даже когда вы их отключили.
Кто еще находил нестандартные способы трекинга, отпишитесь, какие еще методы АС сейчас юзают для детекта?
Вопрос HWID трекинга — это не просто смена серийника диска, это комплексная аналитика системы. Античиты сейчас парсят всё: от EDID мониторов до USN Journal ID на каждом разделе. Ниже собрал базу по самым популярным векторам сбора данных, которые юзают современные АС.
Основные векторы сбора данных:
- Дисковые накопители: Помимо классических IOCTL_STORAGE_QUERY_PROPERTY, чекайте SMART данные и SCSI Miniport запросы. Внимание: NVMe и RAID-контроллеры требуют отдельного хука.
- MAC-адреса: Античиты лезут в ndis.sys и nsiproxy.sys. Не забывайте про кэшированные permanent MAC в NDIS miniport структурах.
- SMBIOS и SYS ID: Проверьте, что WMI не подтягивает данные из кэша после рестарта службы Winmgmt.
- GPU UUID: nvidia-smi -L отдаст вам серийник прямо из драйвера (nvlddmkm.sys).
- Сетевое окружение: ARP-таблицы и GetIpNetTable2 — отличный способ спалить железо по макам роутера или соседних девайсов.
Реестр — это золотая жила для античитов. Обратите внимание на:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\DISPLAY (EDID мониторов).
- HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi (Disk serials).
- HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices (Volume GUIDs).
- C:\Windows\System32\restore\MachineGuid.txt (классика, которую часто забывают почистить).
Код:
// Быстрый пример для Volume Serial spoof
*(PDWORD)(sector + pbsi[i].SerialOffs) ^= generate_volume_serial_number();Технические нюансы для девелоперов:
- USN Journal: Ряд античитов проверяет ID USN журнала. Лечится банальным fsutil usn deletejournal /n X:.
- Filetimes: Помните про TrustedInstaller. Чтобы спуфнуть время создания системных файлов, придется временно забрать владение.
- SetupAPI: USB-устройства кэшируются в SetupAPI логах, даже когда вы их отключили.
Кто еще находил нестандартные способы трекинга, отпишитесь, какие еще методы АС сейчас юзают для детекта?