Опубликовано 8 мая 2026 г.

Как анти-чит определяет ваш ПК (и как это обходится)

Vanguard, EAC и BattlEye не зря работают в режиме ядра — они читают SMBIOS, диски и сетевые адаптеры напрямую. Разбираем, что именно они видят.

Когда античит выдаёт HWID-бан, он не "запоминает ваш компьютер" в каком-то абстрактном смысле. Он сохраняет конкретный набор хэшей — производных от реальных идентификаторов железа. Чтобы понять, что мы меняем при смене HWID, надо понять, что именно эти системы читают.

Откуда берётся "отпечаток"

Античиты ядра (Vanguard, EAC, BE) читают четыре основные группы источников:

SMBIOS-таблицы — UUID системы, серийник материнской платы, модель и серийник BIOS. Это прошитые в чипсете значения.
Диски — серийный номер модели (IDENTIFY DEVICE для SATA, Identify для NVMe), плюс GPT/MBR Disk Signature и серийник тома NTFS из BPB.
Сетевые адаптеры — постоянный (ROM) MAC физических интерфейсов, плюс PnP-инстанс ID.
CPU — brand string из CPUID, microcode revision, иногда serial (на старых архитектурах).

Все эти значения хэшируются вместе и образуют аппаратный отпечаток. Если хотя бы половина из них совпадает с забаненным — античит трактует это как тот же ПК.

Что Phase 1 меняет, а что нет

Программный уровень — то, что лежит в реестре и метаданных файловых систем — меняется напрямую: MachineGuid, ProductId, SusClientId, NTFS volume serial, MAC через ключ NetworkAddress. Это покрывает значительную часть отпечатка и достаточно для обхода большинства гражданских DRM и игровых античитов уровня BattlEye.

Что не меняется на Phase 1: SMBIOS UUID (firmware-resident, требует прошивки BIOS или DMI override через драйвер), реальный firmware-серийник диска (требует ATA Security Mode или firmware reflash) и CPU brand string (полностью read-only).

Чем закрывается остаток — Phase 2 (hook DLL)

Для случаев, когда нужно обмануть именно конкретный процесс (а не Windows целиком), используется injection DLL с хуками на GetVolumeInformation, GetComputerName, RegQueryValueEx и DeviceIoControl для SMART. Хуки подменяют возвращаемые значения только для целевого процесса.

Преимущество — Windows-активация и драйверы продолжают видеть настоящие идентификаторы, лицензия не слетает, а игра/DRM видит фейк. Недостаток — kernel-anti-cheats (Vanguard) обнаружат подмену сразу, и нужен driver-уровень.

Практический подход

Для EAC/BattlEye/EOS/proprietary игр Phase 1 (прямые регистровые правки + смена volume serial + MAC) достаточно в 90% случаев. Для Vanguard и более агрессивных систем — нужен либо kernel-spoofer, либо смена железа на физическом уровне (новая материнка).

Главный совет: всегда сохраняйте резервную копию до смены, и не комбинируйте смену HWID с MAS/HWID-активацией Windows на одном диске — после смены volume serial активация слетает.