5

Скажем, у меня есть флешка, которую я нашел лежащей на земле. Я хочу посмотреть, есть ли у него какая-либо информация, которая может помочь мне вернуть ее своему владельцу, но я живу в городском обществе. Он может легко содержать вредоносное ПО и лежать на земле в ожидании своей следующей жертвы.

Как безопасно просмотреть содержимое этого USB-накопителя?

|источник

2 ответа2

6

Было много вариантов, чтобы открыть его, но в случае безопасности это займет больше времени:

  1. Откройте его через какую-нибудь версию Linux на CD. Если флэш-накопитель USB был заражен, он заразил бы только ОС на live CD.
  2. Загрузите ОС на виртуальной машине и протестируйте флэш-накопитель USB [Примечание. Вы можете настроить гостевую ОС на обнаружение USB в первую очередь, что приведет к отключению обнаружения USB хоста].
  3. Если вы используете компьютер с Windows: отключите autorun.inf на локальном компьютере.
  4. Если вы используете Mac, подключите USB только для чтения
  5. Вы можете отключить автозапуск в Mac, выполнив следующие действия :

Вам нужно удалить задание автозапуска с помощью команды launchctl .

Например, в моем случае я уже установил модем производства ZTE. Поэтому я искал списки LAUNCHD, используя команду launchctl list и нашел эти строки модема.

launchctl list | grep -i zte

Показаны:

5681    -   cn.com.zte.usbswapper.plist

Если вы не нашли свое приложение, выведите все задания в файл. Эта команда awk пытается исключить вероятность наличия пробелов в имени запускаемой вами работы.

launchctl list 2>/dev/null | awk '
{ x="\""substr($0, match($0, $3), 100)"\""; print x; system("launchctl list " x) }
' > launchList.txt

Откройте файл launchList.txt. Имя запущенного задания будет отображаться в «...» над блоком {}, где вы можете найти строку "Мобильный партнер" или "Автооткрытое".

Возможно, осмотрите предмет, чтобы быть более уверенным перед снятием. Окружить "", если в названии задания есть пробелы.

launchctl list "cn.com.zte.usbswapper.plist"

Тогда просто удали это. Это команда для остановки автоматической загрузки. Будьте уверены, что вы удаляете правильный агент или Деймон. 

launchctl remove "cn.com.zte.usbswapper.plist"

Добавьте его снова, если хотите, используя полный путь к файлу PLIST.

launchctl load /Library/LaunchAgents/cn.com.zte.usbswapper.plist

Регулярно сканируйте компьютер и все USB-накопители.

Примечание для BADUSB :

Когда вы подключаете USB-устройство к компьютеру, оно сообщает компьютеру, что это такое, поэтому компьютер может выбрать подходящий драйвер. Например, флэш-накопитель объявляет себя как устройство USB Mass Storage, а клавиатура - "Human Interface Device".

BadUSB - это метод перезаписи прошивки подключенного USB-устройства с компьютера. Например, он может заставить флэш-накопитель идентифицировать себя как мышь и заставить указатель случайным образом прыгать. Или это может привести к тому, что флэш-накопитель идентифицируется как USB-концентратор с подключенной клавиатурой и запоминающим устройством, что при подключении приводит к последовательности нажатий клавиш, которая вызывает запуск программы на флэш-накопителе.

Если вы использовали Linux и хотите предотвратить Badusb:

Атаки BadUSB основаны на том факте, что компьютеры разрешают и включают устройства HID на всех USB-портах. Поддельные сетевые адаптеры не представляют реальной опасности. Мой ответ пытается описать, как использовать udev для временного отключения новых устройств HID.

Для подготовки создайте файл /etc/udev/rules.d/10-usbblock.rules с содержанием:

#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"

Если вы хотите заблокировать и другие классы, найдите номер класса, скопируйте строку и измените класс.

Теперь вы можете заблокировать все новые устройства HID с помощью команды 

sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

и разблокировать с помощью:

sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

Перед выключением всегда разблокируйте его, так как настройка постоянна, и ваши "хорошие" устройства HID будут отклонены при перезагрузке.

Я не знаю, можете ли вы редактировать каталог временных правил, но если эти изменения влияют на поведение, вы должны отредактировать его, так как вам не нужно разблокировать его перед выключением.

BADUSB Источник кредитов: Безопасность DMZ

|источник
0

Отключите автозапуск в Windows, как указано здесь: https://support.microsoft.com/en-us/kb/967715

После этого вы можете безопасно просматривать файлы. Если вы не запускаете / не открываете файлы, которые могут создать вирусы / вредоносные программы, вы в безопасности.

Вредоносные программы могут быть размещены в следующих файлах: .exe, .dll, .scr, .doc(м)**, .xls(м), .xlsb, .ppt(м), .dot(м), .xlt(м. ), .pot(m), .bat, .cmd и т. д.

Вредоносные программы не могут быть размещены в: .jpeg, .gif, .png, .txt, .docx, .xlsx, .pptx

** Может быть версиями .doc или .docm

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .