USB autorun
1、autorun.inf自动播放
在早期的互联网发展中,计算机之间的数据交换受限于网络带宽,因此可移动存储介质(软盘、U盘等)受到人们的追捧,人们也在想方设法使这些设备能够更加方便快捷的帮助人们完成某些数据的转移使用,而自动播放功能就是在这个背景下被工程师们开发出来,原本的自动播放主要是针对CD/DVD多媒体光盘,使这类设备能够实现插入即播放的功能,而针对Windows安装介质,插入就能立即弹出安装程序,在可移动存储介质的根目录下的autorun.inf文件就负责自动播放的功能。
微软也给出了相对应的解决方案,早在2011年2月8日,微软就提供了名为KB967940的补丁,该补丁限定Windows XP、Windows Server 2003、Vista和Windows Server 2008平台上的自动运行功能,不过由于是可选补丁,由用户自主选择进行安装,因此没有达到微软预期的目的,因此后续由提供了补丁KB971029通过自动更新功能推送至用户系统,彻底阻断了USB的自动运行,对利用该手法进行传播的病毒进行了有效的抑制。
那么USB利用autorun.inf进行攻击的手法是否到此就截止了呢?答案是否定的,技术的发展永远是具有两面性,在带给人们方便快捷的同时,也在人们头顶上安放了一柄达摩克利斯之剑。由于该问题的本质是自动播放导致的问题,至此的解决措施并不是针对自动播放进行的,而是针对USB进行的禁止操作,那么毫无疑问刻录到光盘内的病毒还是会被自动执行,但在前面我们也已经考虑过插入光盘的操作非常麻烦,很难在别人不经意间完成攻击,那么我们重新思考能否在USB上做一些操作。
比较容易想到的方法就是让USB被系统识别为光盘,那么写在USB中的病毒文件便能像写在光盘中一样被自动执行,操作其实也很简单,主要分为两个步骤:1. 使用量产工具将USB量产为CD-ROM光驱;2. 将autorun.inf文件和病毒文件制作成ISO文件写入U盘。使用该方法即可成功骗过操作系统,使USB的autorun攻击依旧有效。
什么是Autorun.inf文件呢,严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件,它是由一个或多个“节”组成,每个“节”民须以节名作为开始的一行,节名必须用中括号[]括起来,节名之下则为本节中的命令。对于autorun.alpha来说我们很少用到,而Deviceinstall只能在Windows XP下使用,可以利用它指定硬件向导进行递归搜索的子目录。光盘一放入光驱就会自动被执行,主要依靠两个文件,一是光盘上的AutoRun.inf文件,另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件;如果存在AutoRun.inf文件则执行它里面的预设程序。
其中Autorun.inf一共支持三个节,它们分虽为[autorun]、[autorun.alpha]、[Deviceinstall],其中只有[autorun]是必须存在的。
2、SMI Mass Production Tool
SMI Mass Production Tool是一款专业的U盘量产工具,如果您需要进行U盘量产的话就可选择这款工具,支持多种型号的主控芯片。
U盘量产即U盘批量生产的意思。在U盘出厂时候最后一道工序是量产。而现实中,水货U盘,或者需要制作带CD-ROM盘的U盘,方便u盘装系统,也用到量产。
而量产需要识别U盘的主控方案。也就是芯片方案。一般使用ChipGenius软件查看,并且对应的下载相关量产工具。当然提醒大家的是尽量买原厂正品U 盘。芯片在量产之前首先要确定的就是自己U盘的主控芯片,确定之后才能找到合适的量产工具。主控芯片的分类有:群联、慧荣、联阳、擎泰、鑫创、安国、芯 邦、联想、迈科微、朗科、闪迪。这些是可以通过ChipGenius检测出的。
下载地址:https://dl.pconline.com.cn/download/2848618-1.html
可惜了,可能我的U盘芯片不是慧荣的,因此没有办法检测出来,只能更换工具或者U盘。
最终找到一个爱国者U盘,果然能检测出来了。
点击Setting,出现密码输入框,输入密码320(感觉任意密码都行)。选择DEFAULT.INI文件。 量产工具分配静态CDROM空间 将autorun.inf文件和病毒文件制作成ISO文件
3、Chip Genius
下载地址:https://chipgenius.en.softonic.com
Chip Genius是一款USB设备芯片型号检测工具,Chip Genius软件操作简单便捷,我们不需要安装就可以打开软件进行使用。而且Chip Genius软件功能也很强大,可以帮助你识别U盘、读卡器、内存卡等存储设备的详细信息,你可以来判断自己设备的真假以及芯片型号、厂商等。
部分U盘可能检验不出芯片型号(主控厂商)。
4、USB or Keyboard
HID(Human Interface Device)是一种计算机协议,约定了计算机在完成通讯过程时所要遵守规则,HID协议使得设备之间无需安装驱动就能进行交互,基于HID协议的USB设备有USB键盘、鼠标等。
通过以上我们也可以思考既然键盘、鼠标这些设备都是通过USB接口与计算机进行通讯的,那么我们使用的U盘可不可以模拟成鼠标或者键盘,BadUSB就是通过对U盘的固件进行逆向重新编程,使U盘伪装成一个USB键盘,并通过虚拟键盘输入集成到U盘固件中的指令和代码进行攻击,插入U盘后便有一个无形的键盘输入指令进行恶意操作。
难点在于需要通过某宝购买的一个固件可编程的USB模拟攻击者的操作。
5、新方法
不幸的是,从Windows 7开始,Microsoft出于安全目的限制了自动运行功能。 没有实用的方法可以将其恢复到每台新计算机上,但是可以在可以定期访问的计算机上进行恢复。 首先,您将需要一个小的第三方工具来监视新的USB驱动器的自动运行指令。 然后,您需要创建一个简单的自动运行脚本文件,该文件位于USB驱动器上,并指定在插入驱动器时要运行的程序。
APO USB Autorun是一个程序,可在插入USB驱动器时对其进行监视,以查找旧版autorun.inf脚本文件并启动其中定向的任何程序。 从此处的Softpedia下载它 ,然后双击安装程序文件,然后像安装其他任何程序一样安装它。(https://www.softpedia.com/get/System/System-Miscellaneous/APO-USB-Autorun.shtml#download)
安装后,无论何时连接USB驱动器,您都应该会看到一个如下所示的弹出窗口,询问您是否要运行指定为自动运行的程序(我们将详细讨论如何执行该操作)部分)。 只需单击“运行”按钮以运行该程序,然后有选择地禁用“在打开此文件之前始终询问”选项,这样您下次插入驱动器时就不会受到此警告的困扰。
不幸的是,您需要在要自动运行USB驱动器的每台Windows 7或更高版本的PC上安装APO USB Autorun。 这使得它对于随身携带到许多不同PC上的驱动器没有太大用处,但是如果您经常在同一台计算机上工作,那么它确实很有用。
安装后运行,任务管理器中叫usb_autorun.exe名称,没有它确实无法运行。
[AutoRun.Amd64]
open=setup.exe
icon=setup.exe,0
[AutoRun]
open=sources\sperr32.exe x64
icon=sources\sperr32.exe,0
[AutoRun]
open=get_udev_mount_time.exe
icon=get_udev_mount_time.exe,0
[AutoRun]
;Open=get_udev_mount_time.exe
ShellExecute=get_udev_mount_time.exe
UseAutoPlay=1
适合硬盘和光盘盘使用.“Open=”指定的文件必须为可执行文件,例如com、exe、bat,特别是结合Bat批处理文件,就可以自动完成一系列的任务了! icon也可以用Defaulticon命令代替,效果是一样的!Iconname可以是.ico、.bmp、.exe或 .dll文件,如果这个文件包含多个图标,可指定文件中的一个资源号(索引)来引用其中的不同图标。资源号由0、1、2……数字来标识,分别代表图标信息文件中的第一个图标、第二个图标……,它与图标信息文件间用逗号分隔。例如Icon=C:\Windows\System\Shell32.DLL,21,exe文件的图标一般为1号,需要说明的是,如果Defaulticon 和Icon命令同出现在一个Autorun.inf文件中,Autoplay使用Defaulticon命令而忽略Icon命令。 因为U盘现在普遍都被识别为可移动存储设备,这样的状态操作系统是不会去自动运行其上的autorun的。但是对于U盘可以使用:(验证不生效) Shellexecute=1.exe
6、参数学习
UseAutoPlay修改成2并没有什么区别。值只能等于1.用来使用autoplay的V2特性,只支持Xp的sp2以上版本。 ShellExecute和Open都能执行exe、html、bat文件。 Icon能将U盘的图标更换成exe的图标,后面数字为资源号索引,一般选择0。 Label可以修改盘符名称(卷标)。 Shell指定默认右键菜单名称(没搞懂)。
autorun.inf是我们电脑使用中比较常见的文件之一 ,其作用是允许在双击磁盘时自动运行指定的某个文件。但是近几年出现了用autorun.inf文件传播木马或病毒,它通过使用者的误操作让目标程序执行,达到侵入电脑的目的,带来了很大的负面影响。 https://baike.baidu.com/item/autorun.inf/10548193?fr=aladdin 自动运行功能仅支持CD和DVD媒体。