金山U霸杀毒U盘研究专贴

victor888

他们的这个东西，就是做出一个自动运行的CDROM，如果数据存储区的病毒库被清除，会自动从光盘再考过来，再行升级。但如果这个分区被删除了呢？

对于已经关闭自动运行的电脑，数据区照样染毒。金山的创新之处不过是他的杀软。

我们现在要搞清楚的事情是：自动运行的软件是如何定位他的USB盘并重新写入数据库的。我是这样分析的，他的盘是USB-HDD格式，做为一个固定硬盘，肯定有物理序列号的。那么这个号，就是他们的格式化程序，病毒库升级程序进行识别的关键词。如果是这样，我们完全可以制作出和他的盘一样的盘来，方法就是修改这个物理序号！当然，他们的杀软还得用，因为这个东西要从U盘读病毒库的。这样，我们不能把卡巴也做成这样的盘，如果高手把卡巴读病毒库的程序也给修改了，那可牛了！

他们那个专利啊，就是垃圾，一点用没有，唬外人还行。


这是详细的测评：http://sd.intozgc.com/120/120747_3.html

[ 本帖最后由 原名丢了 于 2007-9-10 04:34 PM 编辑 ]

victor888

这是我打包的他们的专利：

littlegang

现在时兴搞专利的，所以就一窝蜂申请，什么乱七八糟的都会去注册申请成专利
确实很多是不知所谓的，或者纯粹原理性的，看过 专利公告 一大本里面，有点价值的确实不多

myBOOT

学习下，专利在自己用，在逆向工程面前就是0。;P

littlegang

专利本来就不需要任何逆向工程的

专利的公布就是要让制作方法公开并能够被其它人实现得了的，实现不了的不叫专利，而是专有技术或者保密技术

只不过在保护期内，这个方法只能由发明人授权使用

victor888

利用的还是自动播放功能，如果自动播放被关闭了，还拿什么来杀毒呢？:)

gdmzzyw

金山毒霸杀毒U盘除了可以提供移动杀毒和移动文件存储功能外，还提供了一些很具有人性化的附属功能，比如系统启动盘功能，如果用户手边没有现成的系统启动光盘，则可以直接使用该杀毒U盘来进行系统启动，当然电脑的主板要支持移动磁盘启动且用户已经在主板的BIOS中将“第一启动”设置为了“USB-HDD模式启动”才可以。

usb-hdd?
病毒不是一样可以写入？

mynba98

原名丢了，你试用了？关了自动播放功能，它不起作用了？试验了吗？

victor888

这个东西，因为我没有，我一顿查，也没查到，因此还不能确定关闭“自动播放”是不是还好用。

victor888

原帖由 gdmzzyw 于 2007-8-28 02:16 PM 发表
金山毒霸杀毒U盘除了可以提供移动杀毒和移动文件存储功能外，还提供了一些很具有人性化的附属功能，比如系统启动盘功能，如果用户手边没有现成的系统启动光盘，则可以直接使用该杀毒U盘来进行系统启动，当然电脑 ...

除非是故意人为破坏，否则是不会染毒的，他们的格式化程序首先检查是不是金山的杀毒U盘，之后再写入SYSLINUX及毒霸经过“数字签名”的文件。

我想肯定是这样的，如果你把数字签名给破解了，我想它也就完蛋了。

gdmzzyw

杀毒U盘启动功能 程序 (适用于KS-01/02)
软件大小：2.88M 软件说明：可使杀毒U盘具有引导启动功能，启动功能建立在USB-HDD的模式运行。

在这里http://u.duba.net/download.shtml

附件也有

victor888

谁先把它的这个“金山杀U”认证给干掉，就是完成了第一点。

gdmzzyw

哈哈，版主好样的！

如果这样的话，还不如CD-rom，保护性好！

我觉得，这样的话还不如我们自己搞。

反而最怕的不是这个，而是像威金病毒！！
运行不了程序……

gdmzzyw

运行usb-rom
然后，自动调运安全盾。
对关键区域进行保护！
保证光盘运行程序进程不被病毒关闭。

然后进行操作

feng197212

兄弟研究的很深入,事实上某些技术其实本质就是唬人的

我来说说我昨天才开始积累的量产工具的经验吧

到现在为止,还就只用过ut163的量产工具
其中的u盘改为fix或者removable都是小儿科了
不过其中有个选项是可以设置分区只读的，我来找个图
http://bbs.wuyou.net/attachment.php?aid=23086&noupdate=yes
其中public area 1就有只读这个选项
只要把相应的子目录拷贝进去
然后量产，就可以了，确实测试成功
不过问题是如何把这个与启动盘制作结合起来
比如想把这个public area做成启动盘，同时不让写，那就太酷了
也完全实现了这个毒霸盘的功能，甚至还能扩展成开机启动杀毒
比windows下的autorun可要厉害多了

350394540

不知道楼主的附件怎么用/////////

350394540

原帖由 gdmzzyw 于 2007-8-28 02:34 PM 发表
杀毒U盘启动功能 程序 (适用于KS-01/02)
软件大小：2.88M
软件说明：可使杀毒U盘具有引导启动功能，启动功能建立在USB-HDD的模式运行。在这里http://u.duba.net/download.shtml

附件也有

是这个。。。。。。。。

victor888

原帖由 feng197212 于 2007-8-29 06:07 AM 发表
兄弟研究的很深入,事实上某些技术其实本质就是唬人的

我来说说我昨天才开始积累的量产工具的经验吧

到现在为止,还就只用过ut163的量产工具
其中的u盘改为fix或者removable都是小儿科了
不过其中有个选项 ...

这个，我再研究一下。

victor888

现在还改不了，我在联系工程师，他失踪了。

[ 本帖最后由 原名丢了 于 2007-8-29 09:15 PM 编辑 ]

zsh167

学习下，专利在自己用!!!

keygen

谁能发个ut163和ut161上来？


多谢！

rjzrjc86

不会制作启动盘或pe的人的福音，不过我觉得只是用syslinux做了个引导加载主程序，是不是有损国内第一杀毒公司的名声，不像是一个大公司所为，一个大公司因该有自己的引导才叫专利。这种东东在国内玩玩、买一下就好了，要是传到国外去，可能会被别人:lol :lol 的哦。

myBOOT

终于有了新的进度。
希望能够获得更多的量产工具。

alechy

金山毒霸的Ｕ盘已经被我个和谐了，那时候买了两个，一个被我破坏了，装了一个deepin的系统～
还有一个正在使用

alechy

我尝试过吧CD做个备份，但是都是不成功。

一拷贝镜像，他就出问题～

郁闷

alechy

我觉得金山Ｕ盘其实也没什么，就是光驱是个Ｕ盘的杀毒软件，然后读取另一个可读盘上的病毒库。

如果可读盘被破话，就重新把光盘里面的数据拷贝到可读盘里面去。
然后重新升级。

我把光盘里面的数据烤出来，自己做个印像弄进去。但是还是不成功，不能启动，应该对那里动了手脚。


可以尝试把卡巴绿色版做个镜像，然后病毒库放Ｕ盘上，通过一些手段使之升级，但是我不知道怎么改病毒库的路径

郁闷

victor888

原来金山不过是弄了个CD，妈的，和我的想法一样，还装什么高超，搞什么“霸”，丢脸。

victor888

从 alechy  的话判断，所谓的“只读分区”应该就是虚拟出的光盘，里面有一个基本的病毒库，程序设置成从存储区寻找病毒库而已。当然，还有一个隐藏的可启动分区。

wlyh

原帖由 原名丢了 于 2007-9-4 10:12 PM 发表
从 alechy  的话判断，所谓的“只读分区”应该就是虚拟出的光盘，里面有一个基本的病毒库，程序设置成从存储区寻找病毒库而已。当然，还有一个隐藏的可启动分区。

现在才知道??
好像这个早就登出来了吧,,如果我没记错,,应该是在中关村有这样的文章或者评测分析之类的....时间久了记不清了..

wlyh

http://sd.intozgc.com/120/120747_3.html

走进中关村【原创】   作者：数码组  责任编辑：明人  日期：2007年04月20日 12:48

杀毒U盘内置了金山毒霸U盘版，软件是被固化在闪存上，为只读属性，在PC中是无法删除的。在接入PC之后，在我的电脑中除了出现本身的U盘图标，还会有一个装载了毒霸的虚拟光驱，并且会自动运行。



接入U盘后，生成两个启动器，虚拟光驱及可移动磁盘



金山毒霸U盘版 文件夹




    在试用过程中，我们发现，虚拟光驱与可移动磁盘的两个驱中都存在相同的KAV文件夹，光驱中的KAV文件夹都已写保护，无法删除，可以有效保护程序，不会被误删或者被病毒感染。不过可移动磁盘的分区是给用户进行文件读写操作的，所以KAV是可以删除的，这个区也跟普通闪盘一样，能够格式化。可是，当用户格式化之后，重新连接U盘时，产品会自动重建KAV文件夹及其中的全部内容。