过监控程序中 OpenSSL 库的 AES128 解密函数可以获取程序的请求： 图中的代码可以通过 55 53 56 57 8B 4C 24 1C 83 F9 00 0F 84 D4 01 00 00 特征码来定位。携带机器码和用户信息的请求格式用于获取游戏假清单的请求格式 返回的格式如下。游戏数据返回格式其中 user 和 AppOwn 为“数据来源用户”的名称和 Steam ID 。通过相关平台查询，发现“数据来源用户”的信息如下。数据来源用户信息[5]程序按照时间生成序列化的数据，目标地址为服务器地址。即便未进行激活操作，程序亦持续处于活跃状态，且准备将要被发送到目标服务器的序列化数据代码。准备在队列中将要被发送的数据 数据以队列的方式在内存中准备，每条数据携带其生成时的时间戳和将被发送的加密数据，队列中可见 SteamId ， features 等字段，推测这些数据为分散式队列加密发送程序在运行期间所收集到的信息。抓包加密数据图[6]程序修改Steam配置项禁用自动更新。通过设置 Steam 根目录 steam.cfg 中BootStrapperInhibitAll = Enable 的方式，禁用 Steam 客户端自动更新，防止程序失效。禁用Steam客户端自动更新三、关键风险总结[1] 部分售卖该程序的商家在发布或推销时通过模糊的说辞欺骗并诱导用户下载程序。[2] 程序通过修改 Steam 客户端的方式提供服务，通过恶意手段破坏官方客户端的安全性以实施注入操作，使用户数据陷入风险。[3] 程序将用户的敏感数据，甚至是登录令牌收集至自身数据库进行存储与传输。[4] 程序所采用的一系列运行方式与病毒的行为特征极为相似。[5] 程序配置可以由云端服务器随时修改控制，存在极强的安全隐患。从 Gitee 仓库日志能够得知，在文章完成定稿的前 14 天，作者仍通过云端仓库对下发的数据进行修改。云端仓库下发数据四、附录HASH:HASHC&C: