谈U盘扩容与揭露快速鉴定之不可信

市场上充斥着太多的假U盘。而其中,扩容U盘又是假U盘中最恶劣的一种。

什么是扩容U盘呢?扩容U盘并不是指通过技术手段,使得U盘容量提高了。而是通过一些手段,使得我们在电脑上看到的容量只是一个虚假的容量,而不是U盘真正的容量。

<h3>U盘扩容方法</h3>

要想真正地识别U盘是否被扩容过,首先了解一下常见的U盘扩容方法——

首先就是 MBR 修改法。这种扩容方法比较简单,是一种入门级的扩容方法,也是广大奸商们常用的方法。MBR是磁盘的0扇区,也是磁盘的引导扇区,里面有存放着磁盘介质的容量。修改了引导扇区的容量信息,自然就欺骗过了 Windows 了。对付这种入门级的扩容方法也比较简单,直接拿一些工具修复引导扇区,更简单的方法就是直接写坏0扇区,再让 Windows 格式化就行。而识别方法,让 BusHound 抓一下 Read Capacity 这条命令,看看容量就行了。

接下来就是 Capacity 修改法。这种方法相对第一种略显“高明”一些;主要是主控芯片的量产工具,校验不严或者故意留下扩容接口,使得 USB 通信过程中,Read Capacity 时,回报一个虚假容量。而造成的后果就是,前面的小地址使用正常,而后面的大地址数据不写入存储介质。现象就是,拷数据到大地址的时候,速度会突然间增块(因为不需要写入 NandFlash)。对付这种方法也还比较简单,用 BusHound 直接物理写大地址,再读出校验就行。

再接下来就是 Capacity 修改加大地址循环映射法。举个例子,比如说 1000M 的U盘扩容成 8000M 的,前面的 996M 可能就一一对应真实的 NandFlash 地址,而剩余 4M 可能就循环映射成为 7004M 了。这样,有一些以 4M 写、4M 读来校验扩容的软件可能就无法识别这种情况了。这应该就是常见的“用工具测没问题,但实际拷文件却不能用”这种情况了。

最后就是驱动级的扩容了。奸商们在自己的电脑上动了手脚,装了一个驱动程序,使得可移动磁盘的内容映射到本地磁盘上。这样,你在他的电脑上怎么使用U盘都没问题,一回来就不行了。

<h3>U盘扩容识别方法</h3>

除了上面介绍扩容方法时附带的有针对性的识别方法,你还可以——

使用软件 h2testw。通常使用软件能减少一定的麻烦步骤,然而市面上各类检测软件太多了,比如 360、金山都有自己的U盘检测软件,MyDiskTest 也是其中一款——但是它们检测出来的结果不具有“权威性”!请使用 h2testw,除了测扩容,还能测坏块和读写速度,只是时间耗费较长而已。当然,最好使用自己的电脑,以免有人在驱动层上动了手脚。

往U盘中写满数据然后检验。这是最原始、最传统但却最有用的方法。拿这个U盘在一台电脑上拷满文件,然后到另外一台电脑上看文件是否正常。请务必准备足够的耐心。这种方法检测出来的准确性无庸置疑。

<h3>分析360的“菱 · 闪电”u盘鉴定</h3>

话说 360 出了一款快速鉴定的软件,现在基本上成了淘宝无良商家的必备软件了吧。

那么,这款软件的工作原理是怎样的呢?Hanny 花了一些时间,拿了一个U盘,用 BUSHOUND 软件抓了一下并稍微研究了一下 360 的鉴定流程及思想。

第一步,测试最大容量地址的读写正确性。可以理解,这个排除了最低级的扩容做法。

第二步就是顺序往下读写。读是为了实时数据备份,备份是为了测试完成后,再帮用户还原原始数据。这一点还是值得赞一个的,不会因为测试而损坏U盘的数据。不过,用户需要注意,不要在测试中途移除U盘哦。写就是为了写了测试数据了。

第三步就是顺序往下读取进行测试数据校验,然后再写回第二步备份的数据。就是校验步骤了。

第四步?没了,就这样了!

校验的基本思想,其实都是这样的吧。按照 Hanny 的理解,鉴定的核心应该在读写地址的处理上。因为简单的循环往下,很容易通过程序进行处理的。虽说只是不是全扫描,底层都有办法进行软件处理,但是底层始终有个致命的硬伤:CPU 和 RAM 能力不足。测试的方法越无规律,投机的方法就越难,成本越大。

那么,360的扫描是否有规律可循呢?Hanny 观察了一下测试的地址序列:14000 19000 1e000 23000 ...... 看到这里,基本上就可以呵呵呵了。这不就是按照 0x5000 的顺序往下嘛。难怪,这都成淘宝无良商家的必备工具了。本来出一款快速鉴定假U盘的工具,确实是一件帮助大家的一件好事。但是,如果没有做好的话,那么借着大公司的名气,这款软件反而成了无良商家的帮凶了。

另外,也测试了一下金山的那款软件,MyDiskTest 也试了一下,似乎都差不多思想。

算了,点到为止吧。希望这些大公司的工程师能够真正负责一点,尽快改进这些软件咯。

<h3>选购U盘之我个人的经验</h3>

尽量到大电商购买U盘。请不要在街边、学校边随便买U盘,谨慎的话,不要在任何实体店买U盘。网购是个不错的选择,但是众所周知,淘宝假货太多了,天猫也曝出了假货。所以我建议,只在诸如京东、易迅、亚马逊等大电商购买U盘,且只选择他们自营的产品,这样就能大大地减少风险。选购其他电子产品如储存卡、数码相机时,也可以参考此条。若不这样做,就千万别落得被污蔑“你把U盘人为损坏了”或者被教导“360都说不是扩容盘”的下场了。

尽量不选择金士顿这类包装打开很方便的U盘。当然这条只适应于你不听从我前条建议的情况下,其实正品金士顿的质量还真是没的说呢。万一你要在别处购买U盘,请别选择金士顿。一来其假货、仿冒货实在太多;二来其包装很方便打开,给无良商家替换U盘提供了理论上的支持,要知道防伪是印在包装上的,你拿包装怎么查询也显示是正品。

尽量选择大品牌和国际品牌。闪迪、金士顿、惠普都是不错的,国内的忆捷、佰科看起来也很好。坚决不要贪那么一点便宜而购买国内小公司的产品哦,我是有惨痛教训的。

<h3>U盘产品的两个温馨提示</h3>

U盘容量一定会比标识的整数小。比如一个U盘标明是 8G,实际上其容量都不会达到 7.5G。这是因为我们计算的时候,进制是 1024 的,而生产时进制却是 1000,所以你想想从 Byte 到 KB 到 MB 再到 GB 就知道了。另一个原因是U盘的一部分容量被保留,用于存放U盘厂商信息和驱动程序,这也是可以理解的。如果你一个 8G U盘却有 7.8G 的实际空间,那得考虑是不是假盘了。

U盘速度慢。U盘速度本身就是慢的。普遍使用的 USB 2.0 的实际情况好像是读取速度 15MB/s,写入 5MB/s,在这两个数附近波动都是正常的。这两个速度都远远慢于硬盘速度,所以会感觉慢。而 USB 3.0 的速度会快得多。但是有些U盘产品只是一个“过渡式”的产品,虽然标示 USB 3.0,但实际上只是在 USB 2.0 基础上提了少许些速度,这个在购买时要看清产品介绍和用户评论。还有一种特殊情况就是,你买到了次品(尽管是正品)——没办法,次品是必然存在的——一般表现为写入速度只有甚至不达 1MB/s,这个情况下与商家沟通不了的话就只能自认倒霉了。

 

希望以上知识与经验会对大家有用!

此文章前三个部分来源于寒泥(Hanny)这里这里,后两个部分为闪星本人百分百的原创,转载部分或全文时请按照要求保留相关原创作者的链接,谢谢合作。

若无特别说明,本文系原创,遵循 署名-非商业性使用 3.0 (CC BY-NC 3.0) 协议,转载文章请注明来自【闪星空间】,或链接上原文地址:http://shansing.com/read/313/

10 条评论

  1. 坐个沙发,U盘什么的都在大网站买,基本不会有问题

  2. 其实现在在网上买优盘,销量第一的都不会假吧应该。

    1. 我还是不信淘宝销量第一的,盒盒。

  3. 涨姿势了

  4. 其实写一次,读一次不一定识别出假U盘。
    真正能识别出假U盘的是全随机写一次读一次,防止出现乌龙。
    当然对于我这种每个U盘买来都要量产一遍的人来说,基本不会被假U盘悲剧的,怎么造假,一量产什么都出来了。
    这在数码之家有部分案例,360识别不出来的,金山识别不出来的,即使是深度检测也识别不出来的,一量产,立刻发现了。

    1. 嗯,360、金山等就是因为是读写指定的位置,才会被利用的。
      量产确实也是个好办法,但可惜对初学者有技术难度或者心理难度,一些U盘(如闪迪的)也不支持量产。

      1. 谁说闪迪不支持量产,闪迪叫 U 盘还原修复工具,而且 U3 量产至今还能用于大部分闪迪盘(在我这里是大部分)。
        话说你的邮件评论回复通知我收不到,今晚回你网站转转才发现你已经回复了我的评论,应该改进下了。

        1. 好吧,但是我仍然没找到你说的这个量产工具。评论回复邮件通知也不知怎么了,唉。

  5. 谢谢博主的分享,我碰到过几个用户,就遭遇了假的高容量U盘,电脑城里的,结果由于价格不贵,也不了了之了。

发表评论»

NO SPAMS! 不要发垃圾评论哦!

表情