新一代剑甲杀毒硬件 制作原理是什么?

fantasy

汗水 不要在坛子里吵架。杨哥用的是ntfs的方式直接禁用了部分权限。只要是绿色杀软调整一下都可以用。现在这个杀毒硬件是只读分区和权限盘不是一个概念

go2

剑甲采用只读式反病毒存储芯片，自身不会被病毒感染破坏，防毒硬件的核心是经过特殊加密的反病毒软体存储芯片

[ 本帖最后由 go2 于 2009-9-1 12:28 编辑 ]

zhongtian1552

最近给大家发几张劍甲被杀的图！

[ 本帖最后由 zhongtian1552 于 2009-9-1 22:20 编辑 ]

浅浅的爱

呵呵  已上传镜像    http://coolcat108.qupan.com/4478764.html   只是转别人的   coolcat108 别见怪

dgxhls

推销LJ也不看地方。

coolcat108

多谢浅浅的爱，希望大家都来破解

zhongtian1552

有意思的是华登加密大师其实就是E钻文件夹加密大师，不知道是合作还是盗版！哈哈
不过感觉还不错！要是盗版的话就太笑话了！

[ 本帖最后由 zhongtian1552 于 2009-9-2 22:17 编辑 ]

zhongtian1552

升级后的病毒库，升级过程

zhongtian1552

剑甲挂了之后的提示！

[ 本帖最后由 zhongtian1552 于 2009-9-2 22:57 编辑 ]

coolcat108

小松的这个是已经重新量产后的吗，还是原本的“剑甲”

zhongtian1552

都是原来的，第一幅只是说明劍甲也会被杀！
他应该有一个验证机制，当然这不是难点，大不了破解验证，找到对比点改成原版的信息！我觉得难点应该是，他怎样实现往硬件（也就是usb-cdrom）中写入升级后的病毒数据库！上边有个哥们说的VICTOR888的ISO我看了，完全不一样的东西，那算是pe运行的杀毒软件，跟这个扯不上！

zesdq

其实病毒库外置 也是不错的选择  

我觉得这个应该和菜U盘使用的芯片有关系
剑甲功能不是每个U盘都可以实现的  毕竟U盘的芯片的生产商就不一样

coolcat108

可惜没有数码之家的邀请码，否则可以和那边的高手共同研究一下

浅浅的爱

数码之家我有号...  我在那边发了  150191092 说要看看  就那那个做金山和江民杀毒盘的那个兄弟

zhongtian1552

数码之家我也有好可惜没钱发不了邀请码！我的思路是这样的：找到他的注册信息检测处，并给予修改，修改量产的厂家信息，最后进行量产！关键现在还不清楚他到底是怎么穿透量产的？写入硬件的时间并不长一次大约1分钟左右，可以肯定不是重新量产！在厂家网站发现一些东西不知道有没有关联！大家可以从这几方面考虑一下！
还是那句话，现在的难点只有一个：怎样穿透量产！
不过说实在的我还是怀疑他的病毒数据库是写入加密区的！，他的提示信息是唬人的！当然不是很确定！
他厂家的下载里面有一个修复工具，我已经下载了，一直没时间看一眼，感觉应该有一定的启发！有兴趣的可以看一下。

zhongtian1552

ftp2中上传了一些相关的东西，有需要看一下，没什么新的！

zesdq

关于数码之家的U盘办杀毒软件是，将cdrom中的文件复制到U盘的另一个分区。并不是cdrom可写

weiwei114

难道咱们论坛内没有人能够穿透量产吗？
我觉得上边说的把病毒库放在隐藏区的那种方法有可能性。。。但是至于穿透量产嘛，我觉得不可能吧？
市面上不是有种“可檫写”光盘，光盘都相对应的檫写工具。。
难道量产后的U盘，就没有这种工具吗？

zesdq

1、如果说能够穿透量产,这么看来那个剑甲杀毒软件就具备了“量产工具的功能”。
2、据我所知量产工具只能将ISO文件量产的U盘上，如果是穿透量产，这么说从服务器上下载的病毒库，应该是先生成iso文件，才能穿透量产，这有可能吗？
3、病毒库的那个文件夹，病毒升级后事可写，只能说明病毒库文件在U盘上某一处可擦写的区域
4、如果这个剑甲如果能够升级他本身程序，那才有可能说是穿透量产。
5、如果是一个单纯的iso镜像没有好研究的，除非反编译，找出病毒库“真正的位置”，找到了就知道是否穿透量产了。
6、针对这个剑甲杀毒软件，他实现这种功能，一种是硬件的特殊功能，一种是软件本身（这种可能不太可信）、一种可能是加密区

weiwei114

原帖由 zesdq 于 2009-9-4 11:56 发表
1、如果说能够穿透量产,这么看来那个剑甲杀毒软件就具备了“量产工具的功能”。
2、据我所知量产工具只能将ISO文件量产的U盘上，如果是穿透量产，这么说从服务器上下载的病毒库，应该是先生成iso文件，才能穿透 ...

这位仁兄，分析很透彻。。。小弟甘拜下风。。。

我也觉得什么穿透量产。。这不可能。。也许行吧。。。

weiwei114

上边上传的“剑甲”ISO文件无法使用，垃圾瑞星竟然检测有毒！
郁闷！
- -！
我刚才试了下这个ISO文件，虽然有毒，但是还是无法使用。。
上边提到剑甲分区内的文件，在升级后，出现文件变大。。从这点可以看出，的确是穿透了量产。。
我不知道上边的ISO文件是否剑甲那个区的全文件，如果是的话，应该不会提示和之前原装的提示，也就是和加密狗一个特性，未找到某某文件。。
假设我们现在把那个ISO文件量产后，应该不会提示那样的错误，因为我们已经把那个全文件作成ISO文件了呀，，除非它有一个隐藏区，我们做ISO文件的时候，并没有把那个隐藏区做进去，我想那个加密方式应该就在那个隐藏区内。。这就为什么我们量产那个ISO文件会出现这样的提示。。
至于为什么剑甲U盘区内的CDFS格式内的文件在升级后变大，我想这是必然的。。既然市面上有可擦写的光盘软件，谁敢保证没有U盘的CDFS格式擦写工具呢？这个工具极有可能就在那个隐藏分区内。。
加密狗的计算方法，我不懂。。但是我觉得它最起码有个工具或文件才会出现这种情况，但是我们把上边传的ISO文件作好后，并没有避免那种“加密狗”的特性，由此本人大胆推理，一定有个隐藏区。。。
如有错误，大家别骂我。。我只是个菜鸟。。只是说说我的看法。。你们觉得呢？

weiwei114

我们先撇开，它是如何给CDFS格式内写文件，首先考论这个问题，这个问题得到答复的话，有没有隐藏区，大家也可想而知了吧？
自己手里有“剑甲”的兄弟们你们可以这样试试。。。
把CDFS内的文件全都复制到电脑的某个盘内，如果把“剑甲”拔掉，会出现“无法找到某某”禁止运行操作。。如果插上“剑甲”，你先不要点U盘上的剑甲。。你直接点你复制出来的那个剑甲文件，依然可以使用。。。由此可以证明什么？你们所备出来的东西只是外表，而最重要的东西并没备出来，也就是极有可能在那个隐藏区内。。
不知你们是否试试过？
加密文件，定然是被隐藏了，所以会出现样的错误。。

weiwei114

复制到电脑内的文件，和利用你们的那个ISO文件，提示错误是一样的。。可见你们所谓的“ISO”文件和我直接从剑甲内复制出来的文件，无任何区别。。。

超无限

建议版主封了此贴。。。。。

coolcat108

附上原剑甲的硬件芯片检测图

asclong

原帖由 超无限 于 2009-9-4 13:56 发表
建议版主封了此贴。。。。。

很有研究价值的题目，为何要封？难道你是生产商？？？？？

lfhrsm

很好的帖子。懂得太少，能看懂但没有研究过。也跟着学学吧。

dqi

看看讨论还不少，就下载了剑甲的iso来研究下，量产我还算个新手，剑甲使用的方法大家猜想也不少了，我就浏览了下剑甲目录，剑甲也太山寨了点吧，\tools\PROGRAMS里面的那堆工具，好像就都是网上流行的bat文件，tools里面那几个剑甲图标工具，就是bat转的exe文件而已，没有一点自己的东西，tools里面那个User50文件夹，和那个音速启动Vsatrt一样的，没注意到主程序是哪里调用的，那啥MonNormal里面一看就是江民的工具，KillAutorun那个华登运行不了，看样子也是那个软件换了个图标的版本，ClearRogue那个运行不了，不过看那几个DLL的名字，也就是免费的“恶意软件清理助手”的改图标版本，看了一圈，剑甲就是个免费工具的大杂烩哦！主程序运行不了，也就不说了。 除了那啥有点U盘可以写CDFS格式的悬念在哪里，其他没一点新鲜的东西了，那个U盘写CDFS有的话，估计也是厂家提供的功能，和剑甲没什么关系。
  呵呵！鉴定完毕。

weiwei114

原帖由 dqi 于 2009-9-9 11:49 发表
看看讨论还不少，就下载了剑甲的iso来研究下，量产我还算个新手，剑甲使用的方法大家猜想也不少了，我就浏览了下剑甲目录，剑甲也太山寨了点吧，\tools\PROGRAMS里面的那堆工具，好像就都是网上流行的bat文件， ...

我们现在不是讨论它的杀毒能力，杀毒也就是够垃圾的。。。
但是我们现在想知道它是如何去做成的，懂？
它垃圾，和我们有关系吗？