[绝对转帖]让你的U盘成为杀毒U盘——金山篇

neteasylive

特别推荐
本贴是数码之家ID：156191092原创
20来M就可以让你的USBCDROM添加金山杀毒功能
破解版，任何可以USBCDROM+USBHDD的都可以用(我的iPASS III型和纽曼V13都成功)
况且有原创思路历程
原帖如下：

今天该拿“金山毒霸U盘版”开刀了，与“江民杀毒软件移动版”不同的是，江民是做出来软件给别人用，也就是OEM，所以产品正版验证的方式还是序列号验证，即软件验证。而“金山毒霸U盘版”是让别人做出U盘放入自己的软件来买硬件，也就是说U盘是OEM的，所以验证的方法也有所不同，你不会在软件的使用过程中看到任何要求输入序列号或通行证的地方或请求，它所采用的验证方式不是验证软件而是验证硬件，也就是获取主控的信息进行验证。这一点也是后来才发现的，成功度过了第一个阶段也只能说是我运气好。

        有关江民版的信息请大家到这里去看：
                http://bbs.mydigit.cn/read.php?fid=84&tid=101597&u=519748
下面就开始我的制作过程详解了，感兴趣的要仔细看哦
首先讲一下“金山毒霸U盘版”文件的获取，因为“金山毒霸杀毒U盘”就不是很多，所以想要找“金山毒霸U盘版”的镜像就别提有多难了，我甚至发了悬赏的帖子都没有人找到，最后还是自己发现了，而且非常好找，只是不容易想到而已。
     
        首先进入金山毒霸的官方网站，进入金山毒霸的下载页面（什么？金山会提供镜像文件？）

然后点击“旧版本升级”，也就是进入离线升级包下载的页面，看到什么了吗？对！就是“金山毒霸杀毒优盘专用版病毒库离线升级包”。别犹豫了，赶紧下载回来吧

下载回来解压缩会有两个文件，一个升级程序和一个升级包

这是你不要高兴的去运行升级程序，能成功运行程序你需要具备三个条件才可以：
                1、必须插入U盘
                2、你的主控必须在“金山毒霸U盘版”的正版主控列表范围内（你的主控是否支持可以看6楼的帖子）
                3、必须已经量产出CDROM分区
         以上条件缺一不可，否则会出现一下错误：

如果条件都具备了，就会提示正在更新文件

然后到你的U盘的可移动磁盘分区里去看，会发现多了一个“KAV”的文件夹

双击“KAV32.EXE”出现程序主界面

可以正常杀毒

可以正常升级，没有任何验证提示、没有任何限制！

我当时并不知道有这样的条件，但是都具备了，以至于没有发现“金山毒霸U盘版”会对主控有所验证，还以为只要量产了CDROM就可以正常使用，如果那时候发帖就大条了，还好做了测试及时发现了问题。

[ 本帖最后由 neteasylive 于 2009-5-15 21:31 编辑 ]

neteasylive

还等什么，这就是我们需要的文件，赶紧制作镜像文件吧！
     
        编写一个“AutoRun.inf”自动运行的脚本（继续使用群联助手提取出来的图标，进行过小修正）

运行“UltraISO”将需要的文件进行封装，保存为一个ISO镜像

量产出来的效果，这里是KAV（金山），KV是江民

双击运行，出现正在读取数据，此时程序正在初始化，把文件复制到可移动磁盘的“KAV”目录

程序运行后可以发现，实际上运行的是可移动磁盘的“KAV”目录的东西

OK，恭喜你，一个正版的“金山毒霸U盘版”镜像文件就制作完成了。但是限制的条件没有变，此时最重要的限制条件就是：你的主控必须在“金山毒霸U盘版”的正版主控列表范围内，否则你从别人手中下载了这样的镜像是没有办法使用的，会和你将镜像文件解压到硬盘上一样，双击没有任何效果，没有提示、没有错误，可以说是根本就不运行。那我们这些不在正版主控列表范围内的人想用该怎么办啊，那您就接着往下看吧。
   
        注:此时的镜像文件适合、也推荐在支持主控列表范围内的用户使用，因为和正版没有任何区别，使用起来更方便


现在就操刀破解了，目的是让程序强制性的运行起来
   
        先用“PEiD”载入“KAV32.exe”检查一下是否加了壳，结果是UPX的壳（主要是压缩）

知道加的什么壳就，就用工具给他脱掉吧

在查看一下有没有什么残留，可以看到是C++编写的

让大家看一下脱壳前后的文件属性对比，看来金山加壳主要也是为了减少程序的体积吧


[ 本帖最后由 neteasylive 于 2009-5-15 21:19 编辑 ]

neteasylive

用牛刀“OllyDbg”载入反汇编调试，由于这里不是搞破解的论坛，所以就不讲过程了，虽然很艰辛（没有任何错误和提示消息，程序内也没有什么字符串的对比，可想而知有多难多麻烦了，害得我跟了N个小时）
        跟了N个小时终于找到了比较重点的地方。在关键CALL里面进行一些列复杂的运算和验证，然后进行TEST对比，最后决定00403FA9处是否进行跳转。关键CALL里应该是对主控信息的验证，由于不知道是哪什么信息进行对比验证的，所以里面的东西还没有参谋明白，不过并不影响我的破解。了解汇编语言的人都知道“JE”是等于跳转，这里将跳入程序初始化模块；而“JMP”是无条件跳转，这里将跳入程序退出模块。当然我现在的目的就是不让他退出，而让他强制性的运行起来。所以就要动手改程序暴力破解了。

用“UltraEdit”打开脱壳后的“KAV32.exe”文件，然后按“Ctrl+G”打开十六进制跳转，输入找到的关键跳转位置

可以看到和调试程序里的十六进制代码是一样的，我这里需要把“JE”也就是十六进制的“74”改为“EB”，也就是改为“JMP”进行强制性跳转，即判断正确与否都让它进行跳转，当然你也可以改为“75”的不等于“JNE”跳转，但是这样会是在支持主控列表范围内的用户无法使用。

修改后保存运行，哈哈程序界面出来了，被我暴力和谐了（杀毒什么的没有任何异常）

为了减小镜像文件的体积，再把壳加上吧（可以看到文件大小一模一样，但是MD5验证之类的是不会一样的了）

本来以为彻底成功了，制作了镜像在不支持的主控U盘上量产后运行又发现问题了，由于是暴力破解让程序强制运行的，破解的地方也并不是对主控信息的验证，所以运行程序后界面倒是出来了，但是没有程序初始化的过程，也就是没有把文件复制到可移动分区，程序实在CDROM分区内运行的，这样由于CDROM是只读的，所以也没有办法升级。难道就这样失败了？才不是，自己写一个批处理的脚本来模拟实现这个程序初始化的过程就可以了，不就是复制到可移动分区，然后运行嘛，好说！（当然你也可以手动复制，如果你不嫌累的话）

由于升级时会对可移动分区内的文件进行校验验证，所以升级完后会把破解过的“KAV32.exe”覆盖掉，这样就又不能运行了。没有关系，我就在写一个批处理脚本。

最后编写“AutoRun.inf”自动运行脚本，并加入了右键菜单的关联，可以直接右键运行初始化和破解脚本

在CDROM分区上右键弹出的菜单

运行的效果，和支持主控的正版不一样的就是会有一个黑色的脚本运行进程，不过程序一起动你就可以关闭它了


[ 本帖最后由 neteasylive 于 2009-5-15 21:25 编辑 ]

neteasylive

标准版下载（适合支持列表内主控）：
KAV_FOR_USB.iso
验证文件：
KAV_FOR_USB.iso.md5
MD5值：65254597869ABBFF43305E94E419DCF9


破解版下载（适合所有主控）：
KAV_FOR_USB_Crack.iso
验证文件：
KAV_FOR_USB_Crack.iso.md5
MD5值：025D54C5F442F832AA8411E908306C93



作者原帖：http://bbs.mydigit.cn/read.php?tid=102277

[ 本帖最后由 neteasylive 于 2009-5-15 21:30 编辑 ]

冰上人

呵呵，这个不错，我在数码之家下过，试验过
UT163,165主控一般都支持原版；慧荣主控一般不支持原版，可用破解版。

guoqqqqqq

非常好的方法，学习了。我自己已经十分依赖于hxj的杀毒WIM包，因此纯支持一下。

冰上人

楼上，那个包不错，不过，有时有兼容性问题。
这个金山，虽然个人认为比江民差一点，不过，也是不错的。而且适应性更广。

mscmd.exe

这个方法太牛了 学习了 :-)  不错！

聂磊

绝对好贴

谢谢楼主

学习

wzhilin

PE集成了杀毒，方便实惠