更换vse6200引擎——我晕啊！

显示全部楼层 · 发表于 2021-2-2 20:57:42

ly910326 发表于 2021-2-2 19:46
一般当移动设备接入时，禁止autorun或者autoplayer的运行，是不是就可以避免受到badusb的动作。

好像不行。它这个似乎利用的是欺骗策略--明明是个U盘，但却让系统认它是个“键盘”，然后“输入”就都是“键盘”的输入，是受系统驱动支撑的行为，可能无法禁止，除非第一步，“设备安装”失败，“这个键盘无效”。据说是usb协议的大bug，当初只管方便用了（即插即用），却不想留下隐患。

显示全部楼层 · 发表于 2021-2-2 20:58:39

av_lab 发表于 2021-2-2 19:54
感谢分享，这篇文章我之前看过了。
这个就相当于“自写相同功能函数的dll”，对于这种，我有一个未经实 ...

不做码农，这些就不清楚了。

显示全部楼层 · 发表于 2021-2-3 09:25:40

自己更换还有什么好处么

显示全部楼层 · 发表于 2021-2-3 09:50:17

zhengjun0202 发表于 2021-2-3 09:25
自己更换还有什么好处么

心急快吃热豆腐

显示全部楼层 · 发表于 2021-2-3 15:21:45

av_lab 发表于 2021-2-2 19:54
感谢分享，这篇文章我之前看过了。
这个就相当于“自写相同功能函数的dll”，对于这种，我有一个未经实 ...

yara规则无法检出此类行为，目前唯一能完全防御badusb的方法就是检测到新的无法识别的usb硬件时询问用户。

显示全部楼层 · 发表于 2021-2-3 15:31:51

记录微笑发表于 2021-2-3 15:21
yara规则无法检出此类行为，目前唯一能完全防御badusb的方法就是检测到新的无法识别的usb硬件时询问用户 ...

额，我这个只是检测powershell用的

，用于检测和加黑8楼链接中所说的技术。。以阻止脚本执行。

显示全部楼层 · 发表于 2021-2-3 16:32:09

av_lab 发表于 2021-2-3 15:31
额，我这个只是检测powershell用的，用于检测和加黑8楼链接中所说的技术。。以阻止脚本执行。

powershell就更不用管了，Mcafee Endpoint Security早在10.7 beta版本就加入了powershell防护。

现在McAfee官方建议vse用户升级到MES，vse已经过时了。

显示全部楼层 · 发表于 2021-2-3 16:32:51

ly910326 发表于 2021-2-2 19:46
一般当移动设备接入时，禁止autorun或者autoplayer的运行，是不是就可以避免受到badusb的动作。

你看这个：

显示全部楼层 · 发表于 2021-2-3 21:34:05

要是选择使用SWUSB程序呢，直接锁死机器的usb接口，让鼠标键盘可以运行，插U盘后，U盘直接死掉。U盘文件格式直接被转成RAW格式.

显示全部楼层 · 发表于 2021-2-3 22:31:33

ly910326 发表于 2021-2-3 21:34
要是选择使用SWUSB程序呢，直接锁死机器的usb接口，让鼠标键盘可以运行，插U盘后，U盘直接死掉。U盘文件格 ...

这个是不是有点“因噎废食”呢

[砖头] 更换vse6200引擎——我晕啊！