如何安全地浏览不受信任的 USB 闪存驱动器？

Question 1

有很多方法可以打开它，但出于安全考虑，它会耗费更多时间：

通过 Linux 的某些实时 CD 版本打开它。如果 USB 闪存驱动器被感染，它只会感染实时 CD 上的操作系统。
在虚拟机中启动操作系统并测试 USB 闪存驱动器[注意：您可以将客户操作系统设置为首先检测 USB，这将禁用主机 USB 检测]。
如果您使用的是 Windows 机器：请autorun.inf在本地计算机上禁用。
如果你在 Mac 上安装 USB只读
您可以按照以下步骤禁用 Mac 中的自动运行脚步：

您需要使用命令删除自动启动作业launchctl。

例如，在我的例子中，我已经安装了中兴生产的调制解调器。因此，我使用命令搜索了 LAUNCHD 列表launchctl list，并搜索了这些调制解调器字符串。

launchctl list | grep -i zte

显示：

5681    -   cn.com.zte.usbswapper.plist

如果您找不到您的应用程序，则将所有作业输出到文件中。此 awk 命令尝试克服启动的作业名称中可能包含空格的可能性。

launchctl list 2>/dev/null | awk '
{ x="\""substr($0, match($0, $3), 100)"\""; print x; system("launchctl list " x) }
' > launchList.txt

打开 launchList.txt。启动作业的名称将显示在 {} 块上方的“...”中，您希望在其中找到“Mobile Partner”或“AutoOpen”字符串。

也许在移除之前检查一下物品，以确保更有信心。如果作业名称中有空格，请用“”括起来。

launchctl list "cn.com.zte.usbswapper.plist"

然后只需将其删除即可。这是停止自动加载的命令。请确保删除正确的代理或守护进程。

launchctl remove "cn.com.zte.usbswapper.plist"

如果需要，可以使用 PLIST 文件的完整路径再次添加它。

launchctl load /Library/LaunchAgents/cn.com.zte.usbswapper.plist

定期扫描计算机和所有 USB 闪存驱动器。

注意坏USB：

当您将 USB 设备插入计算机时，该设备会告诉计算机它是哪种设备，以便计算机可以选择适当的驱动程序。例如，拇指驱动器将自己声明为“USB 大容量存储”设备，而键盘则是“人机接口设备”。

BadUSB 是一种从计算机重写插入的 USB 设备固件的技术。例如，它可以使拇指驱动器将自己识别为鼠标，并导致指针随机跳动。或者，它可以使拇指驱动器将自己识别为连接键盘和大容量存储器的 USB 集线器，插入后会输入一系列按键，从而导致拇指驱动器上的程序运行。

如果你使用的是 Linux 并且希望防止 badusb ：

BadUSB 攻击基于计算机允许并启用所有 USB 端口上的 HID 设备这一事实。伪造的网络适配器并不构成真正的危险。我的回答试图描述如何使用 udev 暂时禁用添加新的 HID 设备

为了准备，创建一个文件，/etc/udev/rules.d/10-usbblock.rules内容如下：

#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0 >/sys$DEVPATH/../authorized'"

如果你也想阻止其他课程，那么查找班级号码，并复制该行，然后更改类。

现在你可以堵塞所有使用命令的新 HID 设备

sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

和解除封锁和：

sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules

关机前，始终解除阻止，因为该设置是持久的，并且您的“好的” HID 设备将在重新启动时被拒绝。

我不知道您是否可以编辑临时规则目录，但如果那里的更改影响行为，您应该编辑它，因为这样您就不需要在关机前解除阻止。

BADUSB 来源：安全非军事区

Answer