楼主: 柯林
收起左侧

[砖头] 更换vse6200引擎——我晕啊!

[复制链接]
柯林
 楼主| 发表于 2021-2-2 20:57:42 | 显示全部楼层
ly910326 发表于 2021-2-2 19:46
一般当移动设备接入时,禁止autorun或者autoplayer的运行,是不是就可以避免受到badusb的动作。

好像不行。它这个似乎利用的是欺骗策略--明明是个U盘,但却让系统认它是个“键盘”,然后“输入”就都是“键盘”的输入,是受系统驱动支撑的行为,可能无法禁止,除非第一步,“设备安装”失败,“这个键盘无效”。据说是usb协议的大bug,当初只管方便用了(即插即用),却不想留下隐患。

评分

参与人数 1人气 +1 收起 理由
l10x + 1

查看全部评分

柯林
 楼主| 发表于 2021-2-2 20:58:39 | 显示全部楼层
av_lab 发表于 2021-2-2 19:54
感谢分享,这篇文章我之前看过了。
这个就相当于“自写相同功能函数的dll”,对于这种,我有一个未经实 ...

不做码农,这些就不清楚了。
zhengjun0202
发表于 2021-2-3 09:25:40 | 显示全部楼层
自己更换还有什么好处么
柯林
 楼主| 发表于 2021-2-3 09:50:17 | 显示全部楼层
zhengjun0202 发表于 2021-2-3 09:25
自己更换还有什么好处么

心急快吃热豆腐
记录微笑
发表于 2021-2-3 15:21:45 | 显示全部楼层
av_lab 发表于 2021-2-2 19:54
感谢分享,这篇文章我之前看过了。
这个就相当于“自写相同功能函数的dll”,对于这种,我有一个未经实 ...

yara规则无法检出此类行为,目前唯一能完全防御badusb的方法就是检测到新的无法识别的usb硬件时询问用户。
av_lab
发表于 2021-2-3 15:31:51 | 显示全部楼层
记录微笑 发表于 2021-2-3 15:21
yara规则无法检出此类行为,目前唯一能完全防御badusb的方法就是检测到新的无法识别的usb硬件时询问用户 ...

额,我这个只是检测powershell用的,用于检测和加黑8楼链接中所说的技术。。以阻止脚本执行。
记录微笑
发表于 2021-2-3 16:32:09 | 显示全部楼层
av_lab 发表于 2021-2-3 15:31
额,我这个只是检测powershell用的,用于检测和加黑8楼链接中所说的技术。。以阻止脚本执行。

powershell就更不用管了,Mcafee Endpoint Security早在10.7 beta版本就加入了powershell防护。

现在McAfee官方建议vse用户升级到MES,vse已经过时了。
柯林
 楼主| 发表于 2021-2-3 16:32:51 | 显示全部楼层
ly910326 发表于 2021-2-2 19:46
一般当移动设备接入时,禁止autorun或者autoplayer的运行,是不是就可以避免受到badusb的动作。

你看这个:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ly910326
发表于 2021-2-3 21:34:05 | 显示全部楼层
要是选择使用SWUSB程序呢,直接锁死机器的usb接口,让鼠标键盘可以运行,插U盘后,U盘直接死掉。U盘文件格式直接被转成RAW格式.
柯林
 楼主| 发表于 2021-2-3 22:31:33 | 显示全部楼层
ly910326 发表于 2021-2-3 21:34
要是选择使用SWUSB程序呢,直接锁死机器的usb接口,让鼠标键盘可以运行,插U盘后,U盘直接死掉。U盘文件格 ...

这个是不是有点“因噎废食”呢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:23 , Processed in 0.105370 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表