这是一个长长的故事，这是一篇迟到了20多年的文章，这篇文章涉及到的技术已然是昨日黄花，然而这确可以说是70后一代人的回忆，记录下来回忆一下青春的时光，也给年轻时没有完成完美破解的自己一个交代。
20多年前的江湖，主流软件通常选用磁盘加密，那是一个能人辈出的年代，各种软件层出不穷，但是有一个软件被公认加密强大，其加密磁盘极难复制，这就是KV300+。李峰、蚂蚁、艾琳、新月等均写过复制程序，网上也流传着双星软件工作室King-Copy的大量镜像以及FDC的大量镜像，网友飞雪曾用钟世通老师的SCS软件做出“伤心”版，“乱真”版等工程文件，但经测试，确实没有一个能完美的运行所有版本。机缘巧合，最近网友西点肥牛将其倾力搜集的所有版本给了我，恰好混吃等死的我想试试还能不能提动SOFT-ICE和TR这两把大刀，于是先后淘了数台中古笔记本反复调试，终于成功完美复制出加密磁盘，完美运行所有目前能搜集到的存世版本。
为了更好的理解KV300+的加密磁盘，我们要先把时光调回到1994年，那一年诸多病毒爆发，那一年，王江民的杀毒程序晋升为KV100，意味着可以杀死100种病毒。随即KV200开始商业化并以加密磁盘为载体出售。在那个时候KV200的加密相对还是比较简单的。简单的说就是在软盘中格式化出了5对N值为6的扇区，每一对为一个CRC的扇区加上一个加密数据扇区。启动时两个扇区数据互相校验。其实后期KV300和KV300+延续了这个加密思路。CRC的扇区是不能写的，一旦写成功CRC标志就没有了，当然，KC和SCS能部分复制CRC扇区，但是，这种复制是有代价的，其复制方法是在写完扇区数据后主动复位FDC人为制造CRC，但这个方法会破坏后继扇区，所以要完美复制一定是找出加密算法，写入加密扇区。
下面进入正题，如何复制KV200的加密盘。我们以KV200（K）为例，其他版本完全雷同。

TR载入

下断BPINT 13

快速跟踪到读第一个加密扇区73道的0面4988扇区

AH返回10，这是一个CRC的扇区。

D ES：BX观察一下数据缓冲区

读第二个加密扇区74道0面的4A88扇区

返回00，这是一个“正常”的N=6的扇区

观察数据缓冲区

将4988扇区数据偏移DB0h保存100h与4A88数据比较，数据比对相同进入软件界面。这个加密方式其实非常简单，以后的KV300及KV300+均沿袭了这一思路，只是逐渐复杂。
我们来看看KV200的磁盘数据。

这是一个正常的1.44软盘的磁道，18个512字节的扇区

73道的ID，用到了4988这个扇区73（C）0（H）136（R）6（N）

我们读一下4988这个扇区

扇区填充值F6，这是以N=4格式化的，但是扇区ID中N=6，所以800H后将读出扇区接缝数据及后继扇区数据，后继扇区数据这时可能存在错位。

800H处即是扇区CRC

偏移0DB0处数据

下面我们来看74道4A88扇区数据

是不是和4988偏移0DB0处完全一样？这个时期的加密还是非常耿直的。所以复制磁盘只需要按ID格式化，再将4988数据偏移0DB0写入4A88扇区就完成了复制。其他版本完全一样，共计5对这样的加密磁道。

1996年9月，北京江民科技有限公司成立，KV300面世。KV300更换了加密磁盘，但其延续了KV200的加密思路，只是加了一点点变化。在加密数据中埋了几颗地雷，这几颗雷在不久之后引爆。
KV300（G）版中，江民老师得到成都双星工作室技术加持，获得自编程扇区读取能力，我们以H版为例，在Soft-ice中下断BPIO 3F2,到程序领空可见采用自编程技术读出了磁道ID，并校验首扇区ID：

数据区为读出的扇区ID，代码区比较首扇区CHRN值

1997年， “中国毒岛论坛”开放KV300密匙盘制作工具 MK300V4下载，大量盗版充斥市场，王江民奋力一搏，把新制造出的“主动逻辑锁”埋入KV300L++网上升级版中。大量盗版使用者机器被锁死，软硬盘均无法启动。史称“逻辑锁事件”。最终该起事件（L++事件）以罚款收场，未追究江民公司的司法责任。回头来看，就是对KV300磁盘分析不够彻底，没有找到隐藏的数据。从此以后，KV系列识别盗版后，软件表现不再激烈，而是温和的以病毒演示等方式委婉提醒。如新月所作KV300+最后一个版本Z6KEY，其实数据并不完整，软件同样以貌似正常的方式运行，但ESC后，新月所作的盘将出现病毒演示。
我们以74道为例读出成对的磁道数据并比较可以发现：
Comparing files 74-0-168 and 74-1-137：
0000070B: 58 F6
0000070C: 58 F6
0000080B: 58 D9
0000080C: 58 AE
00000DB9: 58 4E
00000DBA: 58 4E

这就是KV300与KV200的不同之处，在700h 800h DBAh处写入的数据将来会用于校验。80道的数据引发了后来著名的L++事件。毒岛论坛更新MK300V5后便沉寂消失于江湖了。MK系列最终也未能实现完美复制KV300，其中有两个问题：1、70道数据缺失。2、兼容性、只有部分机器能做出复制盘。第一个很好解决，第二个我测试了大量软驱后发先原来是扇区间隙长度引发的，正版磁盘扇区间隙是54h，84个4E，在88E 88F 890处正好是索引标记，KV验证了这三个字节，在不同软驱中由于马达转速等原因，我们需要调整扇区间隙并反复写扇区（写扇区数据会引起错位，反复写可以让错位也正好适配验证需求）以适配这三个字节正好位于该位置。

复制KV300磁盘只需找到正确的扇区间隙，按ID格式化，再将数据偏移0DB0写入验证扇区，再把其他验证字节写完就完成了复制。其他磁道完全一样。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)