前言：

当【dāng】前【qián】兄弟们对【duì】“穿越火线【xiàn】小程序cdkey”大体比较注重【chóng】，咱【zán】们都【dōu】想要剖析一【yī】些“穿越【yuè】火【huǒ】线小【xiǎo】程【chéng】序cdkey”的相关【guān】内容。那么小【xiǎo】编在网【wǎng】络上搜集了一些关于“穿越火线小程序cdkey””的相关内容，希望各位【wèi】老铁们【men】能喜欢，大家快快来了【le】解一【yī】下吧！

前言

网络游戏的辅助【zhù】、助手类工具一直以来都受【shòu】到一【yī】些游戏玩家的喜爱。但由于这些软件很多【duō】都存在扰乱游【yóu】戏公平【píng】、篡改游【yóu】戏数据等问题，损害到了【le】游【yóu】戏运营【yíng】方和遵守游戏秩序【xù】玩家的利益，一直以【yǐ】来都是被游戏厂商、运营商打击的对象。也正【zhèng】是因为这是一【yī】个较【jiào】为灰色的地【dì】带【dài】，造成了这【zhè】类工【gōng】具都是由个人或【huò】小团队开发和维护【hù】，可谓鱼【yú】龙混杂【zá】。这里面也就【jiù】存在【zài】大量追求【qiú】不法利益的开发【fā】者——利用游戏辅助传播病毒木马和各类恶意程序，甚至还【hái】有趁机窃取游戏【xì】账号装备【bèi】的可谓比比皆是【shì】。而【ér】今【jīn】天要提到的【de】"CF活动助手【shǒu】"就是【shì】其中一个。

CF活动助手分析

CF活动【dòng】助手是【shì】一款比较流行的游戏辅助工具，其支持的功能很多，以下是【shì】其【qí】官网的介【jiè】绍内容，包括"最新活动通知"，"一键领【lǐng】取活动礼品【pǐn】"，"战绩、消费、仓库【kù】查询【xún】"功能，并且"永久免费"，看起来确实【shí】是【shì】不【bú】错的辅助，

图1. 官网的助手功能介绍

通过官网的用户实【shí】时统计可以看出：其每【měi】日的【de】用【yòng】户【hù】IP数可达到70000+，PV量已经达【dá】到了【le】12万，这也【yě】从【cóng】一【yī】个侧面说明了其确实深受用户喜爱。

图2. CF活动助手的用户量

图3. CF活动助手程序界面

CF活动【dòng】助【zhù】手【shǒu】为了保证能及时跟进游【yóu】戏运营方推【tuī】出【chū】的活动，同时保证其【qí】"查询功能"接口的有效【xiào】性，会在【zài】启动时通过云端下拉配置方式获取自身运【yùn】行所【suǒ】需配置信息，其使【shǐ】用【yòng】的云端配置信息【xī】地址如图4所示：

图4. 程序内使用的云控地址

图5. 程序官网的加密云控信息

通过解密其云【yún】控配置后，可【kě】以发现除【chú】去【qù】程【chéng】序相关的【de】配【pèi】置信【xìn】息后，还包括对安全软件的检测，同时具有下【xià】载并执行远端【duān】程序的功能。

图6.安全软件进程名配置字段

图7. 远端下载程序配置字段

其中下载文件名为【wéi】"QMBroswer.exe"和"QMBrowser.exe"的文【wén】件【jiàn】，在前期分别下发过【guò】"QQ空【kōng】间广告刷手"病毒以及【jí】"Steam盗号器"。而中间的"server.exe"文件，则【zé】是一个下【xià】载者【zhě】木马。

1. 下载者木马

该木马启动后，会主动向【xiàng】远端地址发起【qǐ】下载请【qǐng】求，下【xià】载【zǎi】多个程序到本地执行。虽然在URL链接中，这些【xiē】文件均已【yǐ】.txt结【jié】尾【wěi】，但实际上大多【duō】均【jun1】为可执行程序，其中也包【bāo】含驱动程序（SYS）和动态【tài】链接库程【chéng】序（DLL）等，具体功能也可【kě】能【néng】由于服务器控制者的修改而【ér】损失变【biàn】化。

图8. 下载抓包

此外，该木马同【tóng】时【shí】还【hái】会将中毒机器的相关【guān】信息【xī】上报给服务【wù】端用以统计。

2. Steam盗号器

盗【dào】号器启动后会【huì】结束正在运行【háng】的"Steam"客户端，之后通【tōng】过枚举磁盘文件【jiàn】方式【shì】找到【dào】Steam客户端安装路径

图9. 结束Steam进程

图10. 释放盗号模块

找到Steam客户端安装路径后【hòu】，会向路径内释放名为IPHLPAPI.dll的库【kù】文【wén】件用作DLL劫持，这样【yàng】Steam客户端【duān】在下次启【qǐ】动时【shí】会加载该DLL文件。

图11. 盗号模块注入Steam进程

该DLL一旦被加载【zǎi】，便会【huì】通过hook方式挂钩SteamUI.dll模块的4处位置：分别【bié】为【wéi】"UserNameEdit"、"密码"、"RememberThisComputer"、"Steam_GetTwoFactorCode_EnterCode"，如下：

图12. 盗号模块寻找hook点

图13. 待拦截的控件名称

如此一来，每【měi】当【dāng】用户通过输入账号密码的方【fāng】式登录Steam的时候，劫【jié】持了客户端的DLL同时也会窃取【qǔ】这份账号【hào】和密【mì】码。

3. "QQ空间广告刷手"病毒

病【bìng】毒运行后【hòu】，会通过QQ本地认证接口取到SKey，之后【hòu】带Skey可跳转全线QQ产品，病毒【dú】会选择跳【tiào】转QQ空间和兴趣部【bù】落【luò】，在非用【yòng】户自愿的情【qíng】况下【xià】，发布广告。

图14. 刷QQ空间说说

图15. 刷"兴趣部落"评论

实际发布内容如下图所示：

图16. 类似广告内容

火爆的Steam盗号

自"绝地求生"在国【guó】内爆红之后，针对Steam的盗号产业链【liàn】发展得可谓异常迅猛【měng】，不只这一【yī】款辅助，我们还发现【xiàn】了【le】大量各【gè】种针【zhēn】对steam的盗【dào】号攻击【jī】。

号码如何被盗？

目前流行的盗号方式大体可分为三类：

1. 钓鱼页面，骗取账号密码

通过伪装成相似度极高【gāo】的【de】"活动页【yè】面"诱骗【piàn】受害者输入账号【hào】密码来【lái】领取所【suǒ】谓的"礼包"或"CDKEY"，而一旦输入这些信息，信息便会【huì】被发送到盗号者的"箱【xiāng】子"中存储起来，后【hòu】续被【bèi】打包转卖【mài】或者洗劫。

图17. 伪造的Steam钓鱼页面

2. 曲线救国，利用账号找回功能盗取账号

账号找回【huí】功能【néng】是指在【zài】用户一旦忘【wàng】记原有密码【mǎ】时，平台方通过其预先绑定的【de】邮箱地【dì】址发送【sòng】"凭证"，用【yòng】户以此【cǐ】即可重置其密码。一般来说，此【cǐ】类功能的【de】设计原则【zé】，是基于认为账号【hào】所使【shǐ】用的注册邮箱持【chí】有者是可信的——即，能查看注册【cè】邮【yóu】箱内【nèi】容的人，可以被【bèi】信任为【wéi】就是账号【hào】主人本人。但由于腾讯本地统一认证接口【kǒu】的【de】存在，以上这一套信任逻【luó】辑就变得【dé】不再可靠。

图18. Steam平台发送的密码重置凭证

腾讯【xùn】所提【tí】供的【de】这套接口，本身是为了【le】方【fāng】便用户登录其全【quán】线产品所【suǒ】设计的一套机制。但由于没有对【duì】调用【yòng】者进【jìn】行校验，所以任何在用户【hù】计算机中运【yùn】行的程序都可以调用从而【ér】拿到【dào】SKey（认证Token），如果用户使用了QQ邮箱绑【bǎng】定其【qí】Steam账号，那攻击者通过在【zài】Steam平台主【zhǔ】动发起"密码找【zhǎo】回【huí】"，之后通过Skey在受害者的邮箱中取到"凭证"从而重置密码【mǎ】，更进一【yī】步【bù】可以修【xiū】改掉受害者的Steam绑定【dìng】邮【yóu】箱，使得【dé】受害【hài】者无【wú】法再找回【huí】其账号。

常见的有【yǒu】以【yǐ】"XX变声器【qì】"、"XX加【jiā】速器"命名【míng】的【de】"撸号器"，通过聊天工具【jù】、邮箱【xiāng】方式进行传播。

图19. 通过邮箱传播的Steam撸号器

3. 对登录器下手，直接获取账号密码

前【qián】文【wén】所述的"CF活【huó】动助手"即为以"DLL劫持"方【fāng】式【shì】注【zhù】入Steam登【dēng】录程序，通【tōng】过hook相应的控件处【chù】理逻辑从而偷取受【shòu】害者登录账号及密码，而这【zhè】种方式非常隐蔽，受害【hài】者一时很难察觉，同时也存在盗号器以"远线程"注入【rù】方式盗取受【shòu】害【hài】者账【zhàng】号密码，其中【zhōng】比较常【cháng】见【jiàn】的有：

1) DLL劫持【chí】，位于Steam安装目录下名称【chēng】IPHLPAPI.DLL

2) 进程注入，释【shì】放模块【kuài】位于Steam安装目【mù】录名【míng】称为cuic.DLL

被盗账号会被如何处理？

受害者的账号最终流向，不外乎是以下几种：

1. 账号内有高价值虚拟财产，会被转移后卖掉。

2. 账号安全预【yù】留信息可【kě】改且价值【zhí】较【jiào】高的【de】，修改信息后【hòu】转手当做【zuò】高价值黑号卖掉（几【jǐ】元到几百元不等）。

3. 账号价值较高【gāo】且盗号者自己对账号内【nèi】游戏感【gǎn】兴【xìng】趣【qù】的，盗号者留作【zuò】自用（开挂）。

4. 其余价【jià】值较低账号【hào】，打包【bāo】出售。最后还是流到"上号器"号【hào】商手【shǒu】里。

图20. Steam黑号出租（上号器）

图21. Steam黑号圈子

图22. Steam黑号交易

如何避免号码被盗？

1. 尽量避免使用第三方辅助软件。

2. 无论【lùn】是游戏账【zhàng】号还【hái】是邮【yóu】箱账号，尽可能启用【yòng】多重安【ān】全机制（如手【shǒu】机动态口令app等）。

3. 在非可信环境下（如网吧）避免使用自己的游戏账号。

4. 360安全卫士具【jù】备【bèi】"游戏账号保护"功能【néng】，在【zài】开【kāi】启情况下可【kě】有效阻止游戏【xì】号码被黑客窃【qiè】取。

图23. 360安全卫士【shì】拦【lán】截威胁程序对Steam客户【hù】端的注入操作

标签： #穿越火线小程序cdkey