Steam假入库代码解析，揭秘激活码背后的“陷阱”

在当今数字游戏盛行的时代，Steam平台作为全球知名的游戏分发平台，深受广大游戏爱好者的喜爱。然而，一些不法分子却盯上了玩家们追求低价游戏的心理，试图通过不正当手段谋取利益。

在购物平台上甚至有价格低至7.8元的《黑神话悟空》Steam CDK激活码，这一异常低价背后隐藏着怎样的秘密呢？

在购买后，店家提供了激活流程，但激活过程竟然要求使用PowerShell，经过对其展开详细分析…

一、详细行为剖析

（1）权限要求与安全软件规避

该软件首先从cdk.steam.work下载了一个PowerShell脚本。脚本一开始就强制要求以管理员权限运行PowerShell，其代码如下：

获取管理员权限后，它还会主动检测并试图关闭安全软件，例如针对360安全软件的检测代码：

这种循环检测360安全进程并等待其退出的行为，明显是为了规避安全软件的监控，其意图不言而喻。

（2）核心文件篡改

恶意脚本对Steam的核心文件进行了删除操作，试图破坏Steam的正常运行环境：

（3）可疑文件下载

脚本从未经验证的域名2.steam.work下载文件，并使用伪造的Referer头部来规避检测：

这种从不可信来源下载文件的行为，极大地增加了系统感染恶意软件的风险。

（4）Windows Defender排除配置

为了让恶意文件免于安全扫描，脚本将Steam目录加入Windows Defender的排除列表：

这一操作使得系统的安全防护机制对Steam目录下的恶意文件失去了监控能力。

（5）重启机制

脚本通过特殊协议重启Steam，以使得篡改后的文件生效：

看似是完成优化的提示，实际上是为了让恶意篡改后的Steam能够按照攻击者的意图运行。

二、技术证据链分析

（1）可疑域名分析

2.steam.work这个域名具有明显的可疑特征。它的注册时间为2023 - 05 - 17，是一个较新的域名，注册商为NameSilo, LLC，与官方Steam域名没有任何关联，并且没有有效的SSL证书信息。这些特征都表明该域名极有可能是为恶意目的而创建的。

（2）文件篡改后果

从Steam文件结构的变化可以清晰地看到恶意脚本的影响。原始的Steam文件结构如下：

而经过脚本修改后：

关键文件被删除或替换，新增了可疑配置文件，这严重破坏了Steam的正常运行环境，给用户带来极大的安全隐患。

三、深入代码分析

（1）初始设置与权限检查

这段代码不仅强制要求管理员权限（通过检查SID S - 1 - 5 - 32 - 544来判断是否为管理员组），还设置了静默忽略所有错误的处理方式，以避免在运行过程中暴露问题。

（2）关键文件下载操作

此部分代码定义了复杂的文件下载逻辑，包括蓝奏云解析、哈希验证、异或解密以及多源下载尝试等功能，旨在确保恶意文件能够成功下载并伪装成正常文件。

（3）实际下载文件列表与参数

从这个文件下载列表可以看出，脚本从不可信的Gitee仓库下载多个文件，并通过伪装保存路径和哈希验证等方式，试图将这些文件部署到Steam相关目录中。

（4）文件伪装与部署流程

此部分代码实现了文件的伪装，通过重命名操作将下载的文件伪装成正常的DLL文件，同时清理可能冲突的原有Steam文件，并修改Steam配置文件，强制Steam进入在线模式。

（5）注册表修改操作

脚本在注册表HKEY_CURRENT_USER\Software\Valve\Steamtools路径下创建或修改注册表项，并设置特殊值，进一步对系统进行恶意配置。

（6）进程管理逻辑

这段代码负责终止所有Steam进程（除了Steam++），并等待进程完全终止，为后续的恶意操作创造条件。

（7）自毁机制

脚本还具备自毁机制，通过追溯父进程ID并终止相关进程，试图在完成恶意操作后销毁自身痕迹。

（8）下载文件验证表

此表详细记录了下载文件的相关信息，包括初始保存路径、最终路径、下载源、MD5校验值以及异或密钥，为分析恶意脚本的行为提供了清晰的线索。

（9）技术要点分析

1. 蓝奏云解析技术：通过模拟浏览器请求解析真实下载地址，支持多个域名容错（lanzoup.com/lanzoui.com），具体代码如下：

2. 规避手段

• 文件扩展名伪装：通过将 .dll 文件先伪装成 .txt，再转换为 .log 最后变回 .dll 的方式，试图躲避安全检测软件的识别，扰乱其对文件类型的判断与监控。

• 异或加密传输：使用密钥 0x51 对下载的文件进行异或加密，在文件传输过程中隐藏文件真实内容，只有在下载完成后通过特定解密操作才能还原文件，增加了检测难度。

• 虚假安全提示：向用户展示“已通过Windows Defender检测”的虚假信息，误导用户认为该程序是安全的，降低用户警惕性。

3. 进程注入准备：

   • 强制关闭Steam进程：终止Steam相关进程，为后续将恶意DLL文件注入Steam运行环境创造条件，确保恶意文件能够在Steam重新启动时加载运行。

   • 修改关键配置文件（loginusers.vdf）：通过修改 loginusers.vdf 文件，强制Steam进入在线模式，这可能与恶意激活绕过机制或后续的网络通信相关，以便实现其恶意目的。

   • 部署DLL文件到Steam目录实现劫持：将下载并伪装好的 hid.dll 和 zlib1.dll 等DLL文件部署到Steam目录，利用DLL劫持技术，当Steam启动加载这些DLL时，实际执行的是恶意代码，从而实现对Steam功能的篡改与控制。

4. 自毁机制：

   • 追溯父进程ID并终止：脚本通过获取自身进程ID，追溯到父进程ID并强制终止父进程，试图在完成恶意操作后尽可能消除自身存在的痕迹，增加调查难度。

   • 9秒倒计时后自动关闭：在执行完主要恶意操作后，设置9秒倒计时，倒计时结束后自动关闭当前窗口，进一步营造程序正常结束的假象，减少用户怀疑。

综上所述，这个所谓的Steam CDK激活码脚本本质上是一个游戏盗版工具，通过复杂的操作修改Steam组件来实现所谓的“激活”。其行为模式不仅违反了Steam的用户协议，更给用户带来了诸多风险。使用此类脚本极有可能导致Steam账号被永久封禁，毕竟Steam平台对于盗版和违规激活行为零容忍；同时，系统存在后门植入风险，替换的组件来源不明，其中可能隐藏着恶意代码，随时威胁用户的系统安全和个人信息。

感谢阅读，点赞和充电