绝对强悍U盘传播0day漏洞曝光-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

绝对强悍U盘传播0day漏洞曝光

发表于: 2012-12-12 17:11 29561

绝对强悍U盘传播0day漏洞曝光

blackwhite 活跃值

2012-12-12 17:11

29561

查看主题内容

收藏・19

免费・6

支持

最新回复 (118) ◀ 1 2 3 4 5 ▶
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 51 楼看了半天都没看出啥东西,太玄乎了吧 2012-12-12 22:28 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 52 楼本在构思一个类似程序，没想到早有大牛做出来了 2012-12-12 22:32 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 53 楼我擦这么神奇围观一下 2012-12-12 22:43 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 54 楼 bin dll里面很简单，关键在于启动 ...上传完整 exe 吧大神 2012-12-12 23:07 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 55 楼据你说,也在不同平台测试过了, 那就基本断定和USB驱动有关了. 有条件的话,建议你在 WIN7 WIN8 x86 x64 都测试一下. 2012-12-12 23:08 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 56 楼麻烦大神告知这么u盘的信息，以及产地型号，厂商，以及用hex 看看 u盘的扇区信息复制贴出来，如果真有奇异的地方，估计这个更容易发现.... 2012-12-12 23:27 0
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 57 楼 U盘可能是特制的吧，不是有USB HID Attack吗，就是模拟键盘，通过发按键运行程序的那种。楼主可以用API监控工具看看到底是那个进程，通过哪个过程运行了木马，也好让俺们缩小范围，这样随便猜很不靠谱。 2012-12-13 08:17 0
死鱼高达雪币： 480 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 58 楼我看出来了，楼主就是来黑mj的:)~~~~~~~ 2012-12-13 08:24 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 59 楼楼主有U盘，可以下断点检测一下。loadimage判断dll加载，createprocess看exe的启动 2012-12-13 09:06 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 60 楼断定娱乐帖子~~~ 我早就告诉你是跟解析磁盘有关了，你也不把整个盘DUMP下来，藏头露尾~~~ 2012-12-13 09:14 0
sfstream 雪币： 782 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sfstream 61 楼这么神奇，收藏了，坐等真相！ 2012-12-13 10:44 0
justin108 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 1 关注私信	justin108 62 楼 linux下面if把所有扇区都都读出来看看。 2012-12-13 11:00 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 63 楼上调试器，下断点，看堆栈回溯 2012-12-13 11:13 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 64 楼上调试器试了下,在r3层建进程那儿下断,能拦下explorer加载的exe,其实看exe的上级进程也能看到是 explorer. 2012-12-13 12:52 0
qduliyang 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 65 楼那个数字签名是假的~·更让人怀疑这个文件有问题了~ 莫非是mj新发现漏洞，然后一激动不小心把优盘掉了~~ 楼主是什么杀毒软件，报毒的文件时什么啊，建议一并发上来看看啊~~ 2012-12-13 17:56 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 66 楼可能是固件中的信息异常，触发了U盘通用驱动中的洞吧。个人猜测，应该是特制U盘。 2012-12-13 22:06 0
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 81 粉丝 1 关注私信	DENGXINSD 1 67 楼牛人们应该知道这个博客吧？http://j00ru.vexillium.org/?p=1272 这篇文章就讲的是一个ntfs文件格式解析漏洞，深入内核的！ 2012-12-14 09:04 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 68 楼坐等真相啊。。会不会杀软的主动防御，扫到的残余病毒。。。报什么病毒呢？ 2012-12-14 11:38 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 69 楼 NOD32直接干掉了，哪有那么神! 2012-12-14 11:44 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 70 楼附件下不了?! 2012-12-14 11:52 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 71 楼经过反复测试下断点,总算搞明白原理了(usb hid 攻击).原来u盘是特制的没有利用任何漏洞.这事很鬼异啊.. 2012-12-14 13:21 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 72 楼现在急求大神,如何dump和分析u盘的固件程序. 2012-12-14 13:30 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 73 楼看到一篇文章:http://weijishijie.blog.51cto.com/314724/284492 2012-12-14 13:45 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 74 楼附加USB键盘、USB鼠标等人机交互设备（HID）类接口描述符，则该USB打印机插入USB接口后除了识别出USB打印机之外，会识别出附加的键盘、鼠标等输入设备。如果通过自定义USB固件进行自动输入，模拟用户输入操作计算机，后果不堪设想，将硬盘格式化掉也不是没有可能。回楼上,对就是这玩意儿 2012-12-14 13:50 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 75 楼恭喜啊，U盘里面放上自己的木马，以后想弄谁，走上去查下U盘就欧拉，这种特制的U盘，去哪儿找了…… 2012-12-14 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

blackwhite

发帖

247

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (118) ◀ 1 2 3 4 5 ▶
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 51 楼看了半天都没看出啥东西,太玄乎了吧 2012-12-12 22:28 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 52 楼本在构思一个类似程序，没想到早有大牛做出来了 2012-12-12 22:32 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 53 楼我擦这么神奇围观一下 2012-12-12 22:43 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 54 楼 bin dll里面很简单，关键在于启动 ...上传完整 exe 吧大神 2012-12-12 23:07 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 22 关注私信	半斤八兩 10 55 楼据你说,也在不同平台测试过了, 那就基本断定和USB驱动有关了. 有条件的话,建议你在 WIN7 WIN8 x86 x64 都测试一下. 2012-12-12 23:08 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 56 楼麻烦大神告知这么u盘的信息，以及产地型号，厂商，以及用hex 看看 u盘的扇区信息复制贴出来，如果真有奇异的地方，估计这个更容易发现.... 2012-12-12 23:27 0
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 57 楼 U盘可能是特制的吧，不是有USB HID Attack吗，就是模拟键盘，通过发按键运行程序的那种。楼主可以用API监控工具看看到底是那个进程，通过哪个过程运行了木马，也好让俺们缩小范围，这样随便猜很不靠谱。 2012-12-13 08:17 0
死鱼高达雪币： 480 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 58 楼我看出来了，楼主就是来黑mj的:)~~~~~~~ 2012-12-13 08:24 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 59 楼楼主有U盘，可以下断点检测一下。loadimage判断dll加载，createprocess看exe的启动 2012-12-13 09:06 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 60 楼断定娱乐帖子~~~ 我早就告诉你是跟解析磁盘有关了，你也不把整个盘DUMP下来，藏头露尾~~~ 2012-12-13 09:14 0
sfstream 雪币： 782 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sfstream 61 楼这么神奇，收藏了，坐等真相！ 2012-12-13 10:44 0
justin108 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 1 关注私信	justin108 62 楼 linux下面if把所有扇区都都读出来看看。 2012-12-13 11:00 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 63 楼上调试器，下断点，看堆栈回溯 2012-12-13 11:13 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 64 楼上调试器试了下,在r3层建进程那儿下断,能拦下explorer加载的exe,其实看exe的上级进程也能看到是 explorer. 2012-12-13 12:52 0
qduliyang 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 65 楼那个数字签名是假的~·更让人怀疑这个文件有问题了~ 莫非是mj新发现漏洞，然后一激动不小心把优盘掉了~~ 楼主是什么杀毒软件，报毒的文件时什么啊，建议一并发上来看看啊~~ 2012-12-13 17:56 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 66 楼可能是固件中的信息异常，触发了U盘通用驱动中的洞吧。个人猜测，应该是特制U盘。 2012-12-13 22:06 0
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 81 粉丝 1 关注私信	DENGXINSD 1 67 楼牛人们应该知道这个博客吧？http://j00ru.vexillium.org/?p=1272 这篇文章就讲的是一个ntfs文件格式解析漏洞，深入内核的！ 2012-12-14 09:04 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 68 楼坐等真相啊。。会不会杀软的主动防御，扫到的残余病毒。。。报什么病毒呢？ 2012-12-14 11:38 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 69 楼 NOD32直接干掉了，哪有那么神! 2012-12-14 11:44 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 70 楼附件下不了?! 2012-12-14 11:52 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 71 楼经过反复测试下断点,总算搞明白原理了(usb hid 攻击).原来u盘是特制的没有利用任何漏洞.这事很鬼异啊.. 2012-12-14 13:21 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 72 楼现在急求大神,如何dump和分析u盘的固件程序. 2012-12-14 13:30 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 73 楼看到一篇文章:http://weijishijie.blog.51cto.com/314724/284492 2012-12-14 13:45 0
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 74 楼附加USB键盘、USB鼠标等人机交互设备（HID）类接口描述符，则该USB打印机插入USB接口后除了识别出USB打印机之外，会识别出附加的键盘、鼠标等输入设备。如果通过自定义USB固件进行自动输入，模拟用户输入操作计算机，后果不堪设想，将硬盘格式化掉也不是没有可能。回楼上,对就是这玩意儿 2012-12-14 13:50 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 75 楼恭喜啊，U盘里面放上自己的木马，以后想弄谁，走上去查下U盘就欧拉，这种特制的U盘，去哪儿找了…… 2012-12-14 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复