• 22
  • 12月

话说360出了一款快速鉴定的软件,现在基本上成了淘宝无良商家的必备软件了吧。

本来出一款快速鉴定假u盘的工具,确实是一件帮助大家的一件好事。但是,如果没有做好的话,那么借着大公司的名气,这款软件反而成了无良商家的帮凶了。

那么,这款软件的工作原理是怎样的呢?Hanny花了一些时间,用BUSHOUND软件抓了一下并稍微研究了一下360的鉴定流程及思想。

阅读剩余部分...

  • 24
  • 1月

市场上充斥着太多的假U盘。而其中,扩容U盘又是假U盘中最恶劣的一种。

什么是扩容U盘呢?扩容U盘并不是指通过技术手段,使得U盘容量提高了。而是通过一些手段,使得我们在电脑上看到的容量只是一个虚假的容量,而不是U盘真正的容量。

要想真正的识别U盘是否被扩容过,首先了解一下常见的U盘扩容方法。

首先就是MBR修改法,这是一种入门级的扩容方法,这种扩容方法比较简单,也是广大的JS们常用的方法。MBR是磁盘的0扇区,也是磁盘的引导扇区,里面有存放着磁盘介质的容量。修改了引导扇区的容量信息,自然就欺骗过了Windows了。对付这种入门级的扩容方法也比较简单,直接拿一些工具修复引导扇区,更简单的方法就是直接写坏0扇区,再让Windows格式化就行。而识别方法,让BusHound抓一下Read Capacity这条命令,看看容量就行了。

接下来就是Capacity修改法,这种方法相对第一种略显“高明”一些,主要是主控芯片的量产工具,校验不严或者故意留下扩容接口,使得USB通信过程中,Read Capacity时,回报一个虚假容量。而造成的后果就是,前面的小地址使用正常,而后面的大地址数据不写入存储介质。现象就是,拷数据到大地址的时候,速度会突然间增块(因为不需要写入NandFlash)。对会这种方法也还比较简单,用BusHound直接物理写大地址,再读出校验就行。

再接下来就是Capacity修改加大地址循环映射法。举个例子,比如说1000M的U盘扩容成8000M的,前面的996M可能就一一对应真实的NandFlash地址,而剩余4M可能就循环映射7004M了。这样,有一些以4M写、4M读来校验扩容的软件可能就无法识别这种情况了。这应该就是常见的用工具测没问题,但实际拷文件却不能用这种情况了。

最后就是驱动级的扩容了。JS们在自己的电脑上动了手脚,装了一个驱动程序,使得可移动磁盘的内容映射到本地磁盘上。这样,你在他的电脑上怎么使用U盘都没问题,一回来就不行了。

说了这么多种情况,有没有什么方法可以直接确定这是不是扩容方法呢?最好的方法就是:拿这个U盘在一台电脑上拷满文件,然后到另外一台电脑上看文件是否正常。

如果选测试软件的话,本人推荐h2testw软件,除了测扩容,还能测坏块和读写速度。当然,最好使用自己的电脑,以免有人在驱动层上动了手脚。