Современные античиты не доверяют одному прочтению вашего железа. Они кросс-проверяют — и именно это ловит большинство наивных попыток подмены.
Как работают перекрёстные проверки
Античит читает один и тот же тип информации несколькими способами и сравнивает ответы. Несколько вещей, которые он ищет:
- Внутренняя согласованность. Идентификатор материнской платы, указывающий на одного производителя, при том что другое значение указывает на другого, — явное противоречие.
- Правдоподобность значений. Идентификаторы следуют реальным паттернам производителей. Значение, не вписывающееся ни в один реальный паттерн, выделяется.
- Стабильность во времени. Железо, которое будто бы меняется без перезагрузки или меняется подозрительно часто, — сигнал само по себе.
Почему недоделанная смена палится
Это ключевой момент: частичная, несогласованная смена часто хуже, чем отсутствие смены вообще. Если один идентификатор переписан, а связанный с ним — нет, противоречие — ровно то, что эти перекрёстные проверки и должны находить. HWIDChanger меняет свой набор идентификаторов — идентификаторы Windows, серийник тома диска, MAC-адреса — вместе и согласованно, так что они не противоречат друг другу. Значения уровня прошивки, такие как SMBIOS, процессор и видеокарта, он не трогает; они просто остаются настоящими, что по-своему тоже согласованно.
HWID — лишь один слой
Даже чистый аппаратный профиль не делает вас невидимым. Античиты также анализируют поведение — паттерны ввода, время реакции. Аппаратная идентичность — один слой картины, но не вся она.