近期新闻
浙江桐乡,一个累计非法销售超过1.85亿单,涉及11000款游戏的特大“Steam假入库”团伙被抓,该团伙常年包揽游戏技术破解、多层代理分销、线上终端售卖全套违规业务,正好借着这个机会,来分享一下Steam低价卖游戏的商家,以及一些盗版平台背后的原理,以下内容为我的简化描述,如有错误欢迎指正
原理
第一种,离线游玩
Steam在启动游戏的过程中,校验正版的流程分为多步,第一步是通过本机的Steam客户端,校验本机的账号有没有授权,使用Steam给游戏的加密壳SteamStub DRM来实现,第二步是访问Steam服务器,校验用户是否拥有游戏,使用steam_api.dll来实现,使用相关工具,可以去掉SteamStub DRM,并仿造steam_api.dll,不管Steam要校验什么,都直接返回“用户已经拥有”的虚假信息,利用这些工具可以轻松离线游玩只使用SteamStub DRM加密的游戏,甚至不需要Steam客户端,这类游戏占了Steam所有游戏的99%以上,不过这种方式,虽然能玩游戏,但是却不能使用Steam的创意工坊,成就系统
第二种,假入库
Steam在服务器上保存的游戏,并不是一个整体的大文件,而是很多份只有几mb的小文件,这些文件的清单会被记录在一个叫Manifest的文件里,Steam在下载游戏的时候,会在下载之前,从服务器请求Manifest文件,解密密钥和下载令牌,如果你买了游戏,就能正常请求到它们,正式下载的时候,Steam服务器不会再次校验,只有你有正确的Manifest,密钥,下载令牌即可,而这些买盗版的,会先自己买一份游戏(或是其他办法)或获取到Manifest和密钥,再通过一些手段,在玩家下载时获取到下载令牌,然后就能通过它们,在Steam正常下载游戏,而Steam客户端的游戏库,数据全部存在本地,更容易就能篡改,Steam成就机制也几乎没有服务器校验,即使是假入库,也能正常解锁游戏成就
风险
这些漏洞集合在一起,就让卖盗版的人有机可乘,但是通过这些办法虽然能让你玩上游戏,却有很多风险,首先就是花钱买盗版,然后是商家为了实现目的,会在你的Steam客户端中做更多手脚,商家要求你下载的所谓“激活工具”或让你在PowerShell中运行的陌生代码,其本质上都是恶性软件,有的会偷偷给你的电脑植入挖矿病毒,有的会安插键盘记录器,窃取你的银行卡密码与支付信息,有的甚至会向Steam安装目录中植入伪造的DLL文件(如hid.dll)以控制软件运行逻辑。玩家因运行这些脚本而后续蒙受大额财产损失的案例,屡见不鲜。
如何避免
价格
正版Steam游戏的折扣在大部分时间里都是有规律可循的,即便是每年的夏促、冬促,也不会直接从日常的“7折”“8折”,直接跳水到“1折”“2折”。用一款游戏的“历史最低价”作为基准,但凡电商平台的售价明显低于史低,并且采用9.9元、8.8元之类的价格设定,那十有八九就是“假入库”。这些无良商家,正是抓住了玩家“捡漏”的心理,用超低价作为诱饵引人上钩。
激活流程
Steam官方正版CDK的激活流程非常简单——登录Steam客户端,点击左下角的“添加游戏”,选择“在Steam上激活产品”,然后输入15位(也有一部分较老的激活码为16位)的激活码即可。整个过程简单明了,不需要任何额外的工具或花里胡哨的步骤。
如果商家要求你在Windows的PowerShell里粘贴各种你看不懂的代码、要求你下载非官方工具,或是让你共享自己的Steam账号给他“代激活”……这些操作100%是“假入库”的套路。