Pytanie:
W jaki sposób puste pamięci USB mogą zawierać złośliwe oprogramowanie?
Gruber
2016-09-22 10:45:32 UTC
view on stackexchange narkive permalink

Przeczytałem artykuł w BBC o pustych pamięciach USB zawierających złośliwe oprogramowanie:

Berlińscy badacze Karsten Nohl i Jakob Lell powiedzieli, że urządzenie wyglądało na całkowicie puste może nadal zawierać wirusa.

  • W jaki sposób „puste” pendrive'y USB mogą zawierać złośliwe oprogramowanie?
  • Czy jest to tylko problem w (starszych) systemach Windows?
  • Czy jest jakiś sposób na użycie tych pałeczek do ochrony siebie?

To pytanie może wydawać się podobne do innych pytań, ale te nie dotyczyło pustych patyków.
Co masz na myśli mówiąc „pusty”?
@grc: Przypuszczam, że oznacza to, że jeśli włożysz urządzenie i spojrzysz na jego system plików, nie zobaczysz żadnych plików.
Jeśli włożysz niezaufany USB, już straciłeś, niezależnie od tego, co widzisz.
@grc: To może być prawda.Pytanie brzmi, jak puste urządzenia mogą zawierać złośliwe oprogramowanie, jeśli dotyczy to wszystkich platform i jak można je pokonać.
Prosty.Sterownik Plug and Play = zainfekowany.Niepodpisane sterowniki itp. Podłączasz go i nagle twoje rzeczy są po cichu eksfiltrowane na serwer w prowincji Zhejiang.
@Mark Buffalo: Więc jest to problem tylko z Windowsem?Plug and play jest wyłączony w ostatnich wersjach systemu Windows, prawda?Gdzie ukrywa się wirus?
Kiedy czytałem artykuł, pomyślałem o gumowej kaczuszce (patrz http://hakshop.myshopify.com/products/usb-rubber-ducky-deluxe) Urządzenie USB, które wygląda jak urządzenie pamięci masowej, ale działa jak klawiatura USB. Dzięki temu możesz zrobić wszystko, co może zalogowany użytkownik. Nie jest to „Puste” urządzenie pamięci masowej, ale dla użytkownika może tak wyglądać.
Wirusy się ukrywają.Są w tym bardzo dobrzy.To jest ich sposób działania.
[Oto przemówienie, które wygłosili na BlackHat 2014 na temat złośliwego oprogramowania USB] (https://www.youtube.com/watch?v=nuruzFqMgIw), które powinno zawierać więcej szczegółów.
„* urządzenie, które ** wyglądało na ** całkowicie puste *” ** ... **
Dziewięć odpowiedzi:
autistic
2016-09-22 13:36:08 UTC
view on stackexchange narkive permalink

Obawiam się, że wynika to z nieporozumienia reportera:

... powiedział, że urządzenie, które wydawało się puste, może nadal zawierać wirusa.

W filmie, do którego odnosi się reporter, widać wyraźnie, że przez pierwsze dwie minuty Karsen mówi, że NIE mówi o wirusach. Następnie demonstruje na ekranie, że pozornie puste urządzenie USB zmienia się w inne urządzenie (np. Emuluje pamięć, a także klawiaturę i klawisze), jak to było wspomniane w mojej poprzedniej odpowiedzi (poniżej), ale W tamtym czasie nie przejrzałem pełnego zasobu, aby ustalić go jako rozstrzygający dowód.

Więc masz to, autor w jakiś sposób źle zrozumiał prezentację wideo i opublikował ją BBC ...

W jaki sposób „puste” pamięci USB mogą zawierać złośliwe oprogramowanie?

To pytanie nie daje jasnego obrazu.

Najpierw musimy zdefiniować "empty".

  • Czy masz na myśli niesformatowane ? Jeśli tak jest, czy możemy po prostu wymazać pierwszy sektor, aby zdformatować urządzenie magazynujące, pozostawiając resztę bajtów nienaruszoną? Czy w tych nieskasowanych, ale technicznie niesformatowanych bajtach może znajdować się kod wirusa?
  • Czy masz na myśli, że wygląda pusto po wstawieniu ? W przeszłości było wiele sztuczek służących do ukrywania plików, takich jak przechowywanie ich w koszu do recyklingu, używanie atrybutu „ukryty” lub „plik systemowy”, używanie strumieni NTFS lub nawet nieobsługiwanych partycji. Zagłębiając się w króliczą nory, czy dysk jest pusty, ale zaszyfrowany? Luka w dużej bibliotece kryptograficznej (ostatnio widzieliśmy je dość często) może narazić system na ukryte ataki kanału bocznego, nawet z pozornie pustego urządzenia ... Dodatkowo niektóre pendrive'y USB są bootowalne (na niektórych systemach ; do tego dojdziemy później), co oznacza, że ​​możesz napisać wirusa sektora startowego, aby je zainfekować. Wirusy sektora startowego tak naprawdę nie dbają o to, jaki system operacyjny jest zainstalowany, ponieważ i tak są uruchamiane przed uruchomieniem systemu operacyjnego ... To prowadzi mnie do następnego pytania:

Czy to tylko problem dla (starszych) systemów Windows?

Nie. Powinniśmy rozważyć, co stanowi „złośliwe oprogramowanie”. Możliwe jest, że dowolna sekwencja bajtów zostanie uznana za złośliwe, ponieważ powoduje uszkodzenie jednego systemu (np. Kodu maszynowego x86 / x64 na procesorze x86 / x64), ale nie innego (np. Ten sam kod bajtowy w ARM / SPARC). Aby odpowiedzieć na to pytanie, musimy tylko znaleźć (lub zaprojektować) system, który dekoduje dowolną sekwencję jako złośliwe oprogramowanie, mimo że wcześniej tak nie było.

Czy jest jakiś sposób na użycie tych drążków chroniąc siebie?

Nie. Na koniec rozważ definicję pamięci USB . Czy to możliwe, że zamiast podłączać urządzenie pamięci masowej , możesz podłączyć jakiś błąd elektroniczny, taki jak bezprzewodowy adapter klawiatury lub zabójca USB. Takie urządzenia same w sobie tak naprawdę nie stanowią złośliwego oprogramowania , ponieważ albo nie są oprogramowaniem, albo nie zostały zaprojektowane jako złośliwe ... chociaż mogą jednak stanowić zagrożenie dla bezpieczeństwa. Urządzenie może również uzyskać dostęp do pamięci (np. Pojawiając się jako ładowarka telefonu komórkowego, a następnie kradnąc wszystkie twoje zdjęcia, filmy itp. Za pomocą linii danych lub ukrytej sieci Wi-Fi).

Nie podłączaj niezaufanych urządzeń USB. Kropka. Mogą nie zawierać złośliwego oprogramowania, ale to nie jedyne niebezpieczeństwo ... zwłaszcza w dzisiejszych czasach, gdy konkurencja, elektroniczny sabotaż &, nadzór jest wściekły.

Istnieją nie tylko urządzenia USB, które potajemnie emulują inne urządzenia.Istnieją błędy w niektórych (a może wielu - nie jest to szeroko badane) stosach kontrolerów hosta USB (oprogramowanie układowe i sterownik systemu operacyjnego), które umożliwiają starannie spreparowanemu kontrolerowi klienta USB wykonywanie dowolnego kodu z uprawnieniami do zarządzania systemem (BIOS) lub jądrem systemu operacyjnego.
Prawdopodobnie nie zostało to zbytnio zbadane, ponieważ istnieje WIELE innych sposobów hakowania ludzi niż podłączenie fizycznego urządzenia USB.Wydaje mi się, że kiedy wszystkie inne dziury zostaną zaślepione (HA!), Dużo więcej uwagi poświęci się hakowaniu USB.
Och, jestem pewien, że przeprowadzono ważne badania;po prostu nie ma wielu * publicznych * badań.:) Spodziewałbym się, że nasi przyjaciele w Fort Meade, w SVR i GRU, w niektórych lepszych jednostkach APT w Chinach, w niektórych firmach tworzących złośliwe oprogramowanie / exploity z wyższej półki, które sprzedają swoje zabawki państwom narodowym,itp. przyjrzeli się sprawie.Obszernie.
Lub urządzenie USB może po prostu zaatakować sprzęt komputera.Urządzenie USB może przez chwilę udawać dysk flash, zanim naładuje baterię kondensatorów i zrzuci 100 V do komputera http://kukuruku.co/hub/diy/usb-killer
Dzięki @Jezzamon.Wspomniałem o tym urządzeniu w odpowiedzi, ale jak powiedziałem, nie jest to złośliwe oprogramowanie.Z definicji słownikowej złośliwe oprogramowanie musi być * oprogramowaniem *, a to jest * sprzętem *.Tego typu urządzenia byłyby prawdopodobnie uważane za broń, a nie złośliwe oprogramowanie, ponieważ kiedy zaczynasz zajmować się „majstrowaniem przy elektronice”, niebezpieczeństwa mogą zagrażać życiu.Zdecydowanie odradzam tego typu produkty (stąd powód, dla którego nie podałem ani nie wyjaśniłem tego szczegółowo).Jeśli masz zamiar coś wyjąć, zrób to młotkiem.Wiesz, że nie skrzywdzisz nikogo w ten sposób.
@Seb Tak, po prostu pomyślałem, że warto o tym wspomnieć na wypadek, gdyby ktoś pomyślał: „Spróbuję na moim komputerze, nie mam żadnych cennych danych i mogę po prostu wyczyścić i zainstalować ponownie, jeśli coś pójdzie nie tak”.Oczywiście nie wiem, czy faktycznie są one używane przez ludzi gdziekolwiek.
@Jezzamon nie musisz nawet udawać, że jesteś pendrive'em.Komputer nie wytrzyma wystarczająco długo, aby stwierdzić różnicę.
Cóż, problemem, który mam z powodowaniem awarii komponentów, jest bezpieczeństwo fizyczne.Widziałem ludzi hospitalizowanych z powodu wstrząsów z zasilaczy, które zostały zmodyfikowane, i obawiam się, że tego rodzaju urządzenie może powodować tego rodzaju usterki.Nie zgadzam się z istnieniem tego urządzenia ... i nie chcę, żeby było tu promowane.Oznaczam ten link jako spam dotyczący szkodliwego / potencjalnie nielegalnego urządzenia.Zobaczmy, czy mody się zgadzają.
@Seb Myślę, że to też jest naprawdę złe / niebezpieczne!Dlatego warto ostrzec o tym ludzi
Zastanów się, jak naprawdę wspierasz to urządzenie, zapewniając mu wzrost pozycji w wyszukiwarkach ... Nieważne, jeśli chcesz wspierać coś, co może stanowić poważne zagrożenie dla ludzi, szczególnie tych o słabych sercach ... cóż, jazrobiłem co mogłem.Przechodzę teraz do innych spraw.Mam nadzieję, że ty też jesteś szczęśliwy, że możesz przejść dalej ...
stackunderflow
2016-09-22 22:07:54 UTC
view on stackexchange narkive permalink

Możesz zhakować oprogramowanie układowe urządzenia USB. Dzięki temu możesz powiedzieć systemowi, co chcesz, np. urządzenie jest puste, chociaż nie jest. Lub zaatakuj stos oprogramowania USB systemu operacyjnego, wysyłając dane, których normalne urządzenie USB nie wyśle ​​(więc urządzenie może być naprawdę puste, atak pochodzi z oprogramowania układowego).

Możesz także zrobić inne śmieszne rzeczy, na przykład powiedzieć systemowi operacyjnemu, że urządzenie USB jest również klawiaturą, a następnie automatycznie wpisać polecenia, które robią coś, jeśli jest podłączone. Lub powiedz systemowi operacyjnemu, że urządzenie USB jest kartą sieciową, i przekieruj cały ruch na serwer, który kontrolujesz .

Niekończąca się zabawa z zhakowanym oprogramowaniem sprzętowym USB ...

„powiedz systemowi operacyjnemu, że urządzenie USB to także klawiatura ...” [lub toster] (http://superuser.com/q/792607/210293)
Czy ktoś pamięta zdalne zhakowanie pamięci ROM klawiatury Apple i zalogowanie się do niej?Sprzęt z oprogramowaniem sprzętowym i pewną ilością pamięci może być śmiertelny, nawet od głównych dostawców produktów.Czas wrócić do wejść PS2!
waltinator
2016-09-22 22:56:51 UTC
view on stackexchange narkive permalink

USB działa w ten sposób, AFAIK, zauważ, gdzie kłamstwa mogą sprowadzić system na manowce.

  1. Komputer dostarcza + 5V i GND do urządzenia USB.
  2. Mikrokontroler w USB urządzenie działa i przesyła głos USB dla „To jest urządzenie typu X” (X to dysk, kamera, klawiatura, mysz lub dowolne urządzenie zarejestrowane w Konsorcjum USB).
  3. Komputer wykonuje „odpowiednią” akcję .

Rozważ urządzenia USB z odwróconym (przeprogramowanym) mikrokontrolerem ... 

  Komputer: + 5V, GND Mikrokontroler: Jestem klawiaturą Komputer: OK Mikrokontroler: "FORMAT C:" ENTER "Y" ENTER

(odniesienie do Dilberta)

Wyszukaj lukę „BadUSB”, aby uzyskać szczegółowe informacje.

Tam jest teraz gadżetem GoodUSB: http://hackaday.com/2017/03/02/good-usb-protecting-your-ports-with-two-microcontrollers/

Overmind
2016-09-22 11:02:59 UTC
view on stackexchange narkive permalink

Istnieje kilka sposobów, aby wyglądał pusty:

  • Używanie nieobsługiwanych znaków w nazwie pliku

  • Korzystanie z opcji ukrywania pliki

  • Korzystanie ze specjalnych folderów Windows (takich jak Informacje o systemie)

We wszystkich przypadkach z przyzwoitym menedżerem plików będziesz w stanie je wykryć, ale z poziomu systemu operacyjnego Windows będziesz mógł je wykryć tylko w przypadku 2, a to jeśli włączyłeś wyświetlanie ukrytych plików.

Tak, głównie jest to problem z systemem operacyjnym Windows.

Tak, istnieją sposoby na ochronę:

  • Użyj dobrego menedżera plików, aby zobaczyć prawdziwą zawartość pamięci.
  • upewnij się, że nie masz włączonego typu autouruchamiania
  • Upewnij się, że nie wykonujesz, nie czytasz ani nie przesyłasz plików z pendrive'a, chyba że wiesz, że są bezpieczne
Ta odpowiedź jest myląca, ponieważ prowadzi cię do przekonania, całkowicie błędnie, że możesz się chronić.Nie możesz.Złośliwa pamięć USB będzie złośliwa _w oprogramowaniu sprzętowym_ i zostaniesz zagrożony na długo przed zaangażowaniem menedżera plików.
Możesz osadzić jakiś ładunek w oprogramowaniu sprzętowym USB i sprawić, by wyglądał jak inne urządzenie (np. HID), ale nie wydaje się, aby tak było, ponieważ pendrive jest postrzegany jako pusty i nie jest fałszywy jako inne urządzenie.
@Overmind Pendrive może powiedzieć „cześć, jestem hubem i mam podłączoną zarówno klawiaturę, jak i pusty pendrive”.Czy zamierzasz przejść do menedżera urządzeń i szukać nowej klawiatury za każdym razem, gdy podłączasz pamięć USB?
@bmargulies Powiem, że to trochę niesprawiedliwe.Z pewnością prawdą jest, że pamięć USB * może * być złośliwa w oprogramowaniu sprzętowym.Ale przynajmniej w obecnym stanie, we wrześniu 2016 r., Takie ataki wydają się być dość rzadkie na wolności - o ile nam wiadomo - i ograniczone do prowincji dość wyrafinowanych aktorów.Z drugiej strony, wektory USB, które wykorzystują sposób, w jaki system Windows obsługuje pliki na pendrive'ie i exploity przeciwko wirusom Windows w Eksploratorze, mają znacznie szerszy zapis wykorzystania do transmisji złośliwego oprogramowania.
Myślałem, że to źle, że zaakceptowana odpowiedź całkowicie zignorowała opcję oprogramowania układowego.Nadal tak myślę.
`... z przyzwoitym menedżerem plików będziesz w stanie je wykryć ...` Nawet jeśli oprogramowanie sprzętowe USB odmawia ich wyświetlenia?(Ale wtedy w jakiś sposób wymagałoby to metody ich uaktywnienia).
Tak, user2338816, mimo to, ponieważ dlatego używam własnych zmodyfikowanych / ponownie skompilowanych menedżerów plików zamiast tych, których najczęściej używam.Mam kompletne 16-, 32-bitowe 64-bitowe FM-y, które mogą praktycznie zrobić wszystko, czego potrzeba w systemie operacyjnym.Bezpośredni dostęp do dysku to tylko jeden sposób na obejście wszystkiego.Jeśli coś tam jest, zobaczę to.
@Overmind To absolutnie nieprawda, ponieważ nie masz i nie możesz mieć bezpośredniego dostępu do dysku, możesz przejść tylko przez (potencjalnie wrogie) oprogramowanie układowe, które emuluje dysk.Po podłączeniu może łatwo udostępnić interfejs do całkowicie pustego systemu plików na całkowicie pustym urządzeniu pamięci masowej, a 5 minut później zaczyna zachowywać się tak, jakby zostało podłączone zupełnie inne urządzenie pamięci masowej.Heck, może to fizycznie * być * koncentratorem USB z dwoma oddzielnymi urządzeniami pamięci masowej (i regułą w koncentratorze, aby je przełączać, jeśli spełnione są pewne warunki), a nie żeby był widoczny, patrząc na pendrive.
@Peteris - mówię o ignorowaniu wszystkiego, co dotyczy systemu operacyjnego.Nie byłeś w erze MS-DOS?Pamiętasz polecenie blokady i DDA?Cóż, nadal używam czegoś takiego.Brak emulacji wirtualnego systemu Windows.
@Overmind ignorując wszystko, co jest związane z systemem operacyjnym, nadal nie możesz uzyskać dostępu do pamięci USB „bezpośrednio” - to obcy sprzęt pozostający poza kontrolą twojego komputera, który emuluje dysk i może oszukiwać na tej emulacji bez względu na kod lub system operacyjnylub sprzęt.Pamięć USB należy traktować jak inny komputer podłączony do komputera przez dziwne połączenie sieciowe;ten komputer może po prostu ujawnić „pamięć współdzieloną”, ale może również cię okłamywać, modyfikować pliki, które zapisujesz w tej pamięci lub robić wiele innych interesujących rzeczy.
@Overmind To samo dotyczy sprzętu / oprogramowania sprzętowego HDD - nowoczesny dysk twardy ma dość mocny procesor, a jego oprogramowanie można zmodyfikować tak, aby okłamywały twój komputer, system operacyjny lub bez systemu operacyjnego.„Bezpośredni dostęp” zarówno w obudowie USB jak i HDD nie oznacza odczytywania / zapisywania danych na nośniku, oznacza to bezpośrednie wysyłanie wiadomości do urządzenia i uzyskiwanie z niego odpowiedzi, a urządzenie może odpowiadać w sposób wrogi - np.odczyt danych z pliku w określonych warunkach może zwrócić zmodyfikowane informacje;atak typu „proof of concept” na oprogramowanie układowe dysku twardego dodał dodatkowe konto użytkownika, gdy system operacyjny odczytywał informacje o użytkowniku podczas uruchamiania.
@Peteris Tak, wiem, znalazłem taki błąd w starszej serii Seagate.Coś podobnego jest używane do zmiany etykiety małej pamięci USB (jak modele 2 GB, 1 GB) na 32 + GB.Będą faktycznie pokazywać dużo miejsca, ale tylko pierwsza jej część (przestrzeń rzeczywista) będzie użyteczna.
phyrfox
2016-09-23 22:24:27 UTC
view on stackexchange narkive permalink

Komputer to nie tylko procesor, trochę pamięci RAM i dysk twardy. W komputerze znajduje się wiele procesorów, w tym procesory hosta USB, procesory klawiatury, procesory zegara, procesory magistrali adresowej, procesory IDE / SATA i inne.

„Całkowicie pusta” pamięć USB może zgłaszać 0 plików i foldery na jednej partycji, nawet jeśli jest to, powiedzmy, klawiatura zaprogramowana do reklamowania się jako urządzenie pamięci masowej.

W przypadku większości procesorów istnieje duże zaufanie na poziomie sprzętowym. Oprogramowanie układowe wielu pamięci USB zostało zaprojektowane z myślą, że nie będą programowane przez użytkowników końcowych. Oprogramowanie układowe wielu hostów USB również zakłada, że ​​nie będą one programowane przez użytkowników końcowych.

Innymi słowy, użytkownik z wystarczającymi umiejętnościami technicznymi może napisać własny kod na pendrive, co z kolei może zapisz ładunek do procesora hosta USB, który z kolei może zostać użyty do osłabienia innych systemów za pośrednictwem wspólnych magistral.

To środowisko istnieje tylko dlatego, że większość procesorów zawiera nieulotną pamięć RAM, której używają jako ROM do przechowywania ich kodu. Pozwala to sprzedawcom najpierw zbudować sprzęt, a później upuścić oprogramowanie. Jest to o wiele bardziej opłacalne niż budowanie oprogramowania bezpośrednio w sprzęcie.

Mając to wszystko na uwadze, oto odpowiedzi, których prawdopodobnie nie chcesz słyszeć:

W jaki sposób „puste” pamięci USB mogą zawierać złośliwe oprogramowanie?

Tylko dlatego, że system operacyjny widzi coś jako puste, nie oznacza, że ​​tak jest. Co najmniej ma kod oprogramowania układowego działający w procesorze, który uruchamia się w ciągu milisekundy zasilania urządzenia. Wszystkie urządzenia USB mają pamięć, nawet klawiatury, myszy i karty dźwiękowe. Gdyby było naprawdę puste, urządzenie by nie działało.

Jeśli jednak urządzenie zgłasza się jako urządzenie magazynujące, a system operacyjny zapyta o tablicę partycji, urządzenie może po prostu wysłać dowolne dane, w tym wyglądające na puste lub posiadające dowolną pojemność pamięci itp. Nawet dzisiaj , można znaleźć oszustów, którzy sprzedają urządzenia pamięci masowej o zbyt małej pojemności, które są przeprogramowane tak, aby zgłaszały większą pojemność niż mają. Na przykład możesz kupić pendrive o pojemności 32 GB, który w rzeczywistości ma tylko 2 GB pamięci fizycznej. Oprogramowanie układowe leży w systemie operacyjnym, co ostatecznie powoduje uszkodzenie danych, gdy użytkownik próbuje użyć więcej niż (na przykład) 2 GB pamięci.

Czy to tylko problem w (starszej) wersji Windows systemy?

Nie. To problem praktycznie każdego urządzenia sprzętowego na rynku. Niektórzy szacują, że może to być nawet 90% lub więcej urządzeń, w tym laptopów, tabletów, telefonów, komputerów stacjonarnych, odtwarzaczy mp3 i wszystkiego, co zawiera oprogramowanie układowe USB. Jest przynajmniej jeden producent, o którym słyszałem, że „zahartował” swoje oprogramowanie sprzętowe przed przeprogramowaniem. Proste wyszukiwanie w Google pozwoli znaleźć urządzenia pamięci, które są odporne na przeprogramowanie.

Czy istnieje sposób na użycie tych patyków, jednocześnie chroniąc siebie?

Nie. W rzeczywistości, jeśli nie zbadasz każdego kodu oprogramowania układowego przed podłączeniem go do komputera i nie przeczytasz kodu oprogramowania układowego komputera przed podłączeniem czegokolwiek do niego, nie możesz być pewien. Jest całkowicie możliwe, że Twoje urządzenie zostało zainfekowane przez NSA, zanim zostało wysłane do Twojego sklepu i sprzedane. Może nawet zostać zainfekowany, nawet jeśli kupiłeś cały sprzęt po kawałku i sam go zbudowałeś. Jeśli nie stworzyłeś i nie zaprogramowałeś samodzielnie każdego aspektu swojego komputera, absolutnie nie ma sposobu, aby być całkowicie bezpiecznym.

Najlepsze, co możesz zrobić, to wzbudzić zaufanie i unikać ryzykownych zachowań. Unikaj kupowania otwartego sprzętu w e-bay, chyba że masz uzasadnione zaufanie do sprzedawcy. Wolę kupować markowe części komputerowe zamiast fałszywych imitacji, chyba że możesz mieć uzasadnioną pewność, że są bezpieczne (np. Poszukaj informacji). Używaj jak najmniejszej liczby urządzeń i unikaj udostępniania urządzeń osobom, których nie znasz. Innymi słowy, zachowaj takie same środki ostrożności, jak przy zakupie jedzenia, samochodu lub czegokolwiek innego. Większość sprzętu nie jest obecnie zainfekowana, tylko dlatego, że istnieją łatwiejsze sposoby zdobycia czyichś danych, ale należy unikać przypadkowego narażenia na ryzyko.

KeksArmee
2016-09-23 19:29:53 UTC
view on stackexchange narkive permalink

Sam pendrive może być wirusem, a nie dane w jego pamięci flash.

Pokażę ci, jak:

  • Urządzenie USB może mieć wiele punktów końcowych
  • Punkt końcowy może odbierać lub wysyłać dane
  • Potrzebujesz 2 punktów końcowych dla zwykłego dysku flash USB: Wyślij i odbierz
  • USB 1.1 umożliwia do 4 punktów końcowych
  • USB 2.0 pozwala na maksymalnie 15 punktów końcowych, myślę, że

Pozostałe punkty końcowe można wykorzystać do emulacji klawiatury lub myszy.

Jeśli gotowe racja, użytkownik zauważa tylko pozornie pusty dysk flash. Więc nie ma możliwości usunięcia wirusa bez modyfikacji oprogramowania sprzętowego USB

Nate
2016-09-23 19:26:05 UTC
view on stackexchange narkive permalink

Kilka dobrych odpowiedzi powyżej - inną związaną z odpowiedzią Waltinatora byłoby coś w rodzaju ruberducky USB, które mogłoby zawierać złośliwe oprogramowanie na ukrytej partycji, którą wdrożyłoby podczas wyświetlania pustej partycji.

NERF
2016-09-23 08:05:38 UTC
view on stackexchange narkive permalink

Z powodu uszkodzonych danych. Wszystko, co może zapisać się w pamięci, teoretycznie może się uratować bez interakcji użytkownika. Zgodnie z tą definicją można powiedzieć, że sam system Windows jest złośliwym oprogramowaniem, ponieważ za każdym razem, gdy podłączasz dysk lub pamięć USB, zapisuje on kilka niewidocznych bajtów, które mogą zawierać cokolwiek. Wszędzie od kopii zapasowych informacji potrzebnych systemowi operacyjnemu, a nawet fałszywego oprogramowania, które kopiuje się na wszystko, co można zapisać. W latach 90-tych dyskietki miały fizyczną wkładkę na kciuk, którą można było przestawiać jak przełącznik, a przestawienie go w położenie zablokowane uniemożliwiłoby zapis danych na dysku. Nic takiego nie istnieje w przypadku napędów USB, chociaż jestem pewien, że prawdopodobnie istnieje oprogramowanie, które umożliwia blokowanie dysków. W Linuksie nic nie jest montowane automatycznie, chyba że jest skonfigurowane w ten sposób, jeśli złapiesz złośliwe oprogramowanie na sprzęcie wymiennym, jest to problem z systemem Windows.

W jaki sposób „fizyczna wkładka kciukowa” chroniłaby dane przed zapisaniem na dyskietce?Dlaczego nieuczciwy napęd dyskietek honoruje jego użycie?
@grochmal: teoria jest taka, że jesteś właścicielem napędu, więc wiedz, że jest on właściwy, ale nie znasz zawartości dyskietki.Ta analogia jest błędna, ponieważ wkładka chroniłaby dysk, a nie komputer, do którego włożyłeś dysk.W tamtych czasach wiele wirusów było rozpowszechnianych przez oprogramowanie do sneakersów.Jeden uniemożliwił komputerowi drukowanie.W tym czasie komputery służbowe były współdzielone.Zainfekowaną dyskietkę można umieścić w komputerze w nadziei na wydrukowanie pliku.Po zainfekowaniu komputera plik nie był drukowany, więc można było przenieść dyskietkę na inny komputer i spróbować ponownie ...
Większość pamięci USB * ma * przełącznik ochrony przed zapisem.
Nie jest mało prawdopodobne, aby przełącznik ochrony przed zapisem na „karcie pamięci” USB znajdował się pod kontrolą oprogramowania układowego, które, jak omówiono powyżej, może zostać naruszone.Napędy dyskietek, zwłaszcza takie, które były używane w komputerach PC do ok.2005, zwykle opierają się na starszym stylu projektowania sprzętu, który albo w ogóle nie używa oprogramowania układowego i nie łączy na stałe efektów fizycznego przełącznika, albo używa oprogramowania układowego, które jest w ogóle dostępne tylko dla producenta chipów użytych w projekcie.
Dodatek: 34-stykowy interfejs używany w klasycznych napędach dyskietek PC NIE MOŻE być nigdy używany do przeprogramowania napędu w żaden sposób i NIE MOŻE nadpisać przełącznika ochrony przed zapisem.
To jest niepoprawne.Większość kart pamięci nie ma przełącznika ochrony przed zapisem
Jest tylko kilku dostawców, których znam, którzy produkują na rynek masowy pamięci USB z fizycznymi przełącznikami zabezpieczającymi przed zapisem, których nie można obejść.(Oznacza to, że nie ma znaczenia, czy system operacyjny „szanuje” pozycję przełącznika, czy nie; gdy przełącznik znajduje się w odpowiedniej pozycji, fizyczny zapis nie może wystąpić.) Niektóre z tych produktów są również twierdzone, że zezwalają tylko na zmiany oprogramowania układowego, które są podpisaneprzez producenta.Możesz znaleźć te urządzenia dość łatwo na Amazon lub Newegg.Jak można się domyślić, są one znacznie droższe niż typowe pamięci USB przy tej samej ilości pamięci.
NZKshatriya
2016-09-24 17:16:46 UTC
view on stackexchange narkive permalink

Moja krótka odpowiedź: łatwo jest sfałszować dane, aby coś wyglądało na coś, czym nie jest.

Można to zrobić złośliwie lub jako produkt uboczny innej aplikacji.

Przypadek przypadkowego produktu ubocznego. Mam pamięć USB3 16 GB, którą przerobiłem na bootowalną pamięć USB Kali Linux. Program, którego użyłem, ostatecznie przekształcił nieużywane miejsce w nieprzydzieloną partycję, więc teraz system widział tylko pendrive jako całkowitą przestrzeń zajmowaną przez dane ISO. Skończyło się na tym, że musiałem użyć programu do partycjonowania innej firmy, aby ponownie podzielić całą pamięć i uzyskać łącznie 16 GB.

Ta analogia jest nieważna.Rozruchowy USB używa systemu plików na dysku ISO9660, a ten system plików twierdzi, że jest tylko do odczytu.Twój system operacyjny pokazuje, że dysk jest mniejszy tylko wtedy, gdy jest zamontowany, ponieważ żadna implementacja ISO9660 nie może wyjść poza koniec systemu plików (ponieważ jest to system plików nośnika optycznego).Jednak po odmontowaniu system operacyjny może nadal odczytywać pełne urządzenie blokowe (np. `Dd if = / dev / null of = / dev / sdb` usunie całe urządzenie, a nie tylko część objętą przez ISO9660).
Punkt zajęty.Przepraszamy za złą analogię, prawdopodobnie z powodu braku snu, zbyt małej ilości kawy.Muszę zaznaczyć, że system operacyjny, który używam na moim głównym dysku to Win10 ... nie martw się jednak, mam Debiana 8 i Kali na zewnętrznych, pracuję nad moją pierwszą wersją LFS.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...