Mac OSX：不明なUSBストレージにアクセスする最も安全な方法は何ですか？

それで、あなたはあなた自身に熱いエージェントがいて、それを調べたいのですか？これは楽しいことになるだろう！

まず、しないプラグインして、周りを見回すだけです。 「サンドボックス」ファインダーを作成しても、潜在的なマルウェアから保護することはできません。では、実際に商品をどのように見ますか？さてあなたは法医学検査を行う必要があります！必要なものは次のとおりです。

• A 仮想マシン は、マシンに感染しないようにするために重要です。 VMがネットワークにアクセスできないように設定してください。
• フォレンジックイメージャー。 helix または autopsy suiteを使用します。 FTK imager Windows VMを使用している場合にうまく機能します。
• A 書き込みブロッカー 調査対象のUSBデバイスの整合性を保護します。これは、ターゲットUSBへのすべての書き込みを防ぐことを意味します。これにより、ターゲットの初期の記録が保持されますが、特定の種類のマルウェアがターゲットUSBで自分自身を変更することも防止されます。個人的には、ハードウェア書き込みブロッカーを使用するほうが信頼性が高いので（Amazonにアクセスして見つけてください）と言います。

VMできればLinuxディストリビューション（らせんのような）で構成します。次に、書き込みブロッカーをPCに接続してセットアップします。イメージャープログラムを開き、最後にホットUSBスティックを差し込みます。

RAM（容量がある場合）または別の（OS以外の）ドライブに直接、このドライブのフォレンジックイメージを取得します。ターゲットのサイズによっては時間がかかる場合があります画像を取得したら、同じイメージャプログラムを使用してさまざまな方法で画像を見ることができます（FTKを使用すると、非常に簡単になります）。

全体の概念はインシデント対応と呼ばれ、SANSには何をすべきかについて多くの優れたドキュメントがあります。 1つあります 。また、フォレンジックについて多くを学ぶために この本 を使用しました。私は彼のCISSPを取っている男を知っています、そして彼はちょうどそれを終えたので、それはまだ関連しています。

頑張って楽しんでね！

あなたのコメントへの応答として、感染したデバイスを接続すると、マルウェアは実際に知らないうちに広がる可能性があります。これを防ぐ最善の方法は、ターゲットとは異なるOSでVMで検査を実行することです。別のOSは、マルウェアの実行を禁止するのに役立ち、VMは、マルウェアが発生して実行された場合のダメージコントロールとして機能します。

マルウェアがこのように広がる最も一般的で最も簡単な方法は「自動再生」機能ですが、その機能の背後で何が起こっているかを実際に考えると、RAMおよび（メタデータ/ログ/などの形式で）PCのハードドライブに書き込まれますすべて*攻撃者がしなければならないことは、その脅威ベクトルを利用することです*ただし、これは小さな偉業ではありません：）

しかし、それはすべての悲観と破滅ではありません。あなたがしなければならないのは、適切に設定されたVMを投げるだけであり、本質的にその特定の脅威の99.99％を止めました。