我閱讀了 BBC文章,其中包含空的包含惡意軟件的USB記憶棒:
總部位於柏林的研究人員Karsten Nohl和Jakob Lell說,該設備似乎完全是空的可能仍然包含病毒。
- “空” USB盤中如何包含惡意軟件?
- 這是(舊)Windows系統的唯一問題嗎?
- 在保護自己的同時,有什麼方法可以使用這些搖桿嗎?
這個問題似乎與其他問題相似,但那些不關心空棍。
我閱讀了 BBC文章,其中包含空的包含惡意軟件的USB記憶棒:
總部位於柏林的研究人員Karsten Nohl和Jakob Lell說,該設備似乎完全是空的可能仍然包含病毒。
恐怕這是由於記者的誤解造成的:
...說一個看似空的設備仍可能包含病毒。
在報導者所引用的視頻中很明顯,事實上,在頭兩分鐘裡,卡爾森說他不談論病毒。然後,他繼續在屏幕上展示了看似空的USB設備正在將其自身更改為其他設備(例如,模擬存儲以及鍵盤和彈奏擊鍵),正如我之前的回答(以下)提到的那樣,但是當時我還沒有審查過完整的資源以將其確定為確鑿的證據。
因此,您已經有了它,作者以某種方式誤解了視頻演示,BBC出版了...
“空” USB盤中如何包含惡意軟件?
這個問題並不清楚。
首先我們必須定義“空” 。
這僅僅是一個(舊版)Windows系統有問題嗎?
否。我們應該考慮什麼構成“惡意軟件”。任意字節序列都有可能被視為惡意軟件,因為它會損壞一個系統(例如x86 / x64處理器上的x86 / x64機器代碼),而不是另一個系統(例如ARM / SPARC上相同的字節碼)。要回答這個問題,我們只需找到(或設計)一個將任意序列解碼為惡意軟件的系統,即使以前不是這樣。
是否有使用這些存儲棒的方法在保護自己的同時?
不。最後,考慮 USB記憶棒的定義。是否有可能不是插入存儲設備,而是插入某種電子錯誤,例如無線鍵盤適配器或USB拇指殺手。這樣的設備本身並不是真正的惡意軟件,因為它們不是軟件,或者不是為了惡意而設計的……儘管它們可能會帶來安全風險。設備可能還可以訪問內存(例如,作為手機的充電器,然後使用數據線或隱蔽的wifi網絡竊取所有照片,視頻等)。
請勿插入不受信任的USB設備。期。它們可能不包含惡意軟件,但這並不是唯一的危險……尤其是在當今這樣的當今時代,競爭,電子破壞活動&監視非常流行。
您可以破解USB設備的固件。有了它,您可以告訴操作系統您想要什麼,例如。設備是空的,即使不是。或通過發送普通USB設備不會發送的數據來攻擊操作系統的USB軟件堆棧(因此該設備甚至可能真的是空的,攻擊來自固件)。
您還可以執行其他操作有趣的事情,例如告訴操作系統USB設備也是鍵盤,然後自動鍵入命令(如果插入的話)。或者告訴操作系統USB設備是網卡,然後將所有流量重定向到您控制的服務器
被黑的USB固件帶來的無盡樂趣...
USB的工作方式為AFAIK,請注意謊言可能導致系統誤入歧途。
考慮具有顛覆(重新編程)微控制器的USB設備...
計算機:+ 5V,GND微控制器:我是鍵盤計算機:OK微控制器: “ FORMAT C:” ENTER“ Y” ENTER
(Dilbert參考)
搜索“ BadUSB”漏洞以獲取詳細信息。
有現在是GoodUSB小工具: http://hackaday.com/2017/03/02/good-usb-protecting-your-ports-with-two-microcontrollers/
有幾種方法可以使它顯示為空:
在文件名中使用不受支持的字符
使用隱藏選項
使用特殊的Windows文件夾(如係統信息)
您將能夠檢測到它們,但是在Windows操作系統內部,您只能在情況2中檢測到它們,也就是說,如果您啟用了它以顯示隱藏文件。
是的,大多數情況下它是一個Windows操作系統問題。
是的,有幾種方法可以保護:
計算機不僅是處理器,一些RAM和硬盤驅動器。計算機內部有許多處理器,包括USB主機處理器,鍵盤處理器,時鐘處理器,地址總線處理器,IDE / SATA處理器等。
一個“完全空”的USB棒可能正在報告0個文件和單個文件夾中的文件夾,即使它是被編程用來宣傳自己作為大容量存儲設備的鍵盤。許多USB記憶棒上的固件設計時都不會讓最終用戶對其進行編程。許多USB主機上的固件還假定最終用戶不會對它們進行編程。
換句話說,具有足夠技術技能的用戶可以將自己的代碼寫到USB記憶棒上,從而可以將有效負載寫入USB主機處理器,該負載又可以用於通過公用總線破壞其他系統。用於存儲其代碼的ROM。這使供應商可以先構建硬件,然後再構建軟件。
因此,考慮到所有這些,您可能不想听的答案是:
“空的” USB閃存盤如何包含惡意軟件?
僅僅是因為操作系統認為某物為空並不意味著它是空的。至少,它在處理器中運行的固件代碼會在設備通電後的毫秒級啟動。所有USB設備都具有內存,甚至包括鍵盤,鼠標和聲卡。如果確實是空的,則該設備將無法工作。
但是,如果設備將自己報告為存儲設備,並且OS查詢分區表,則該設備可以簡單地發送所需的任何數據,包括看起來空的或具有任意存儲容量的數據。 ,您可以找到銷售容量不足的存儲設備的騙子,這些設備經過重新編程以報告更多的容量。例如,您可能購買了實際上只有2 GB物理存儲的32 GB棒。固件在於操作系統,當用戶嘗試使用超過(例如)2 GB的存儲時,最終會導致數據損壞。系統?
否。這實際上是市場上所有硬件設備的問題。有人估計這可能高達90%或更多的設備,包括筆記本電腦,平板電腦,電話,台式機,mp3播放器以及其他任何裝有USB固件的設備。我聽說至少有一家製造商已經“加固”了其固件以防重新編程。一個簡單的Google搜索將找到可以重新編程的存儲設備。
有什麼方法可以在保護自己的同時使用這些棍子?
不。實際上,除非您在將每個固件的代碼插入計算機之前都進行了檢查,並且實際上在插入任何內容之前先閱讀了計算機的固件代碼,否則您將無法確定。您的設備很可能在被運送到您的商店並出售給您之前已被NSA感染。即使您自己購買了所有硬件並自行構建,它甚至可能已被感染。除非您親自對計算機的各個方面進行物理創建和編程,否則絕對沒有絕對安全的方法。
您能做的最好的事情就是建立一定程度的信任,並避免冒險行為。除非您合理地信任賣方,否則請避免在e-bay上購買開放式硬件。除非您可以合理確定它們是安全的(例如進行研究),否則最好購買品牌的計算機部件而不是仿製的仿製品。使用盡可能少的設備,並避免與您不認識的人共享您的設備。換句話說,請採取與嘗試購買食物,汽車或其他任何東西時相同的預防措施。大多數硬件當前並未受到感染,僅是因為有一種更簡便的方法來獲取某人的數據,但您應避免隨意承擔風險。
USB記憶棒本身可能是病毒,而不是閃存中的數據。
讓我向您展示如何:
您可以使用其餘的端點來模擬鍵盤或鼠標。
如果完成了沒錯,用戶只會注意到看似空的閃存驅動器。因此,如果不修改USB固件,就無法刪除病毒
上面的幾個好的答案-與waltinator的答案有關的另一個問題是 USB ruberducky,它可能在隱藏分區中包含惡意軟件,而該惡意軟件會在顯示空分區時進行部署。
由於數據損壞。理論上,任何可以將自身寫入內存的內容都可以在無需任何用戶交互的情況下保存自身。按照這個定義,您可以說Windows本身就是惡意軟件,因為只要您插入驅動器或USB,它就會寫入一些不可見的字節,其中可能包含任何內容。操作系統或什至將自身複製到任何可寫內容的惡意軟件所需的備份信息中的任何位置。在90年代,軟盤上有一個物理的拇指插入物,您可以像開關一樣翻轉,將其翻轉到鎖定位置將導致數據無法寫入磁盤。 USB驅動器不存在像這樣的東西,儘管我敢肯定可能有軟件可以允許您鎖定驅動器。在Linux中,除非以這種方式設置,否則不會自動掛載任何東西,如果您在可移動硬件上捕獲惡意軟件,則是Windows的問題。
我的簡短答案:很容易弄亂數據,使某些東西看起來好像不是。
這可能是惡意完成的,也可能只是其他應用程序的副產品。
以意外副產物為例。我有一個16gb USB3記憶棒,我將它製成了Kali linux的可啟動USB。我使用的程序最終將未使用的空間劃分為未分配的分區,因此現在系統僅將存儲棒視為ISO數據佔用的總空間。我最終不得不使用第3方分區程序來重新分區整個存儲棒,並獲得16gb的總容量。