信頼できないUSBフラッシュドライブを安全に閲覧するにはどうすればよいですか?
地面に横たわっているのを見つけたUSBフラッシュドライブがあるとします。所有者に返還するのに役立つ情報がないか知りたいのですが、私は都市社会に住んでいます。マルウェアが簡単に含まれ、次の犠牲者を待つために地面に横たわっている可能性があります。
このUSBフラッシュドライブの内容を安全に閲覧するにはどうすればよいですか?
それを開くための多くのオプションがありましたが、安全上の懸念の場合、それはより多くの時間を消費します:
- LinuxのライブCDバージョンから開いてください。 USBフラッシュドライブが感染した場合、ライブCDのOSのみに感染します。
- 仮想マシンでOSを起動し、USBフラッシュドライブをテストします[注:ゲストOSを最初にUSBを検出するように設定すると、ホストのUSB検出が無効になります]。
- Windowsマシンを使用している場合:ローカルコンピューターで
autorun.infを無効にします。 - Macを使用している場合は、USBを 読み取り専用 としてマウントします。
- 次のようにして、Macで自動実行を無効にすることができます steps :
launchctlコマンドを使用して自動起動ジョブを削除する必要があります。
たとえば、私の場合、ZTE製のモデムをすでにインストールしています。そこで、launchctl listコマンドを使用してLAUNCHDリストを検索し、それらのモデム文字列をgrepしました。
launchctl list | grep -i zte
表示中:
5681 - cn.com.zte.usbswapper.plist
アプリが見つからない場合は、すべてのジョブをファイルに出力します。このawkコマンドは、起動したジョブ名にスペースが含まれる可能性を克服しようとします。
launchctl list 2>/dev/null | awk '
{ x="\""substr($0, match($0, $3), 100)"\""; print x; system("launchctl list " x) }
' > launchList.txt
LaunchList.txtを開きます。起動されたジョブの名前は、{}ブロックの上にある「...」に表示されます。「モバイルパートナー」または「AutoOpen」の文字列が表示されます。
おそらく、削除する前に、アイテムがより自信を持っていることを確認してください。ジョブ名にスペースがある場合は、「」で囲みます。
launchctl list "cn.com.zte.usbswapper.plist"
次に、それを削除します。自動ロードを停止するコマンドです。正しいエージェントまたはデーモンを削除していることを確認してください。
launchctl remove "cn.com.zte.usbswapper.plist"
必要に応じて、PLISTファイルのフルパスを使用して再度追加します。
launchctl load /Library/LaunchAgents/cn.com.zte.usbswapper.plist
コンピューターとすべてのUSBフラッシュドライブを定期的にスキャンします。
[〜#〜] badusb [〜#〜] に関する注記:
USBデバイスをコンピューターに接続すると、デバイスはコンピューターにそれがどのようなものであるかを通知するため、コンピューターは適切なドライバーを選択できます。たとえば、サムドライブはそれ自体を「USBマスストレージ」デバイスとして宣言しますが、キーボードは「ヒューマンインターフェイスデバイス」です。
BadUSBは、プラグインされたUSBデバイスのファームウェアをコンピューターから書き換える手法です。たとえば、サムドライブがそれ自体をマウスとして識別し、ポインタがランダムにジャンプするようにすることができます。または、接続されたキーボードと大容量記憶装置を備えたUSBハブとしてサムドライブを識別させることができます。これは、プラグインすると、サムドライブ上のプログラムを実行する一連のキーストロークを入力します。
Linuxを使用していて、badusbを防止したい場合:
BadUSB攻撃は、コンピューターがすべてのUSBポートでHIDデバイスを許可および有効化するという事実に基づいています。偽造されたネットワークアダプタは実際の危険ではありません。私の答えは、udevを使用して新しいHIDデバイスの追加を一時的に無効にする方法を説明しようとしています
preparationの場合、次の内容のファイル/etc/udev/rules.d/10-usbblock.rulesを作成します。
#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"
他のクラスもブロックしたい場合は、 クラス番号を調べてください 、その行をコピーして、クラスを変更してください。
これで、コマンドを使用してすべての新しいHIDデバイスをブロックできます
sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules
およびunblockwith:
sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules
シャットダウンする前に、常にブロックを解除します。設定は永続的であり、「適切な」HIDデバイスは再起動時に拒否されます。
一時ルールディレクトリを編集できるかどうかはわかりませんが、そこでの変更が動作に影響する場合は、代わりに編集する必要があります。シャットダウンする前にブロックを解除する必要がないためです。
BADUSBクレジットソース:セキュリティ [〜#〜] dmz [〜#〜]
ここで説明されているように、Windowsで自動実行を無効にします: https://support.Microsoft.com/en-us/kb/967715
その後、ファイルを安全に閲覧できます。ウイルス/マルウェアをカウントする可能性のあるファイルを実行/開かない場合は、安全です。
マルウェアは次のファイルに配置される可能性があります:.exe、.dll、.scr、.doc(m)** 、. xls(m)、. xlsb、.ppt(m)、. dot(m)、. xlt(m )、. pot(m)、. bat、.cmdなど。
マルウェアを次の場所に配置することはできません:.jpeg、.gif、.png、.txt、.docx、.xlsx、.pptx
**。docまたは.docmバージョンのいずれかである可能性があります