绝对强悍U盘传播0day漏洞曝光-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

绝对强悍U盘传播0day漏洞曝光

2012-12-12 17:11 28801

绝对强悍U盘传播0day漏洞曝光

blackwhite 活跃值

2012-12-12 17:11

28801

查看主题内容

收藏・19

点赞・3

打赏

最新回复 (118) ◀ 1 2 3 4 5 ▶
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2012-12-12 22:28 51 楼 0 看了半天都没看出啥东西,太玄乎了吧
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 2012-12-12 22:32 52 楼 0 本在构思一个类似程序，没想到早有大牛做出来了
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 2012-12-12 22:43 53 楼 0 我擦这么神奇围观一下
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 2012-12-12 23:07 54 楼 0 bin dll里面很简单，关键在于启动 ...上传完整 exe 吧大神
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 21 关注私信	半斤八兩 10 2012-12-12 23:08 55 楼 0 据你说,也在不同平台测试过了, 那就基本断定和USB驱动有关了. 有条件的话,建议你在 WIN7 WIN8 x86 x64 都测试一下.
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 2012-12-12 23:27 56 楼 0 麻烦大神告知这么u盘的信息，以及产地型号，厂商，以及用hex 看看 u盘的扇区信息复制贴出来，如果真有奇异的地方，估计这个更容易发现....
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 2012-12-13 08:17 57 楼 0 U盘可能是特制的吧，不是有USB HID Attack吗，就是模拟键盘，通过发按键运行程序的那种。楼主可以用API监控工具看看到底是那个进程，通过哪个过程运行了木马，也好让俺们缩小范围，这样随便猜很不靠谱。
死鱼高达雪币： 480 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 2012-12-13 08:24 58 楼 0 我看出来了，楼主就是来黑mj的:)~~~~~~~
zhouws 雪币： 3019 活跃值： (1159) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2012-12-13 09:06 59 楼 0 楼主有U盘，可以下断点检测一下。loadimage判断dll加载，createprocess看exe的启动
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 212 粉丝 0 关注私信	liuganchao 2012-12-13 09:14 60 楼 0 断定娱乐帖子~~~ 我早就告诉你是跟解析磁盘有关了，你也不把整个盘DUMP下来，藏头露尾~~~
sfstream 雪币： 782 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sfstream 2012-12-13 10:44 61 楼 0 这么神奇，收藏了，坐等真相！
justin108 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 1 关注私信	justin108 2012-12-13 11:00 62 楼 0 linux下面if把所有扇区都都读出来看看。
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2012-12-13 11:13 63 楼 0 上调试器，下断点，看堆栈回溯
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-13 12:52 64 楼 0 上调试器试了下,在r3层建进程那儿下断,能拦下explorer加载的exe,其实看exe的上级进程也能看到是 explorer.
qduliyang 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 2012-12-13 17:56 65 楼 0 那个数字签名是假的~·更让人怀疑这个文件有问题了~ 莫非是mj新发现漏洞，然后一激动不小心把优盘掉了~~ 楼主是什么杀毒软件，报毒的文件时什么啊，建议一并发上来看看啊~~
hackerlzc 雪币： 1689 活跃值： (380) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 14 关注私信	hackerlzc 10 2012-12-13 22:06 66 楼 0 可能是固件中的信息异常，触发了U盘通用驱动中的洞吧。个人猜测，应该是特制U盘。
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 84 粉丝 1 关注私信	DENGXINSD 1 2012-12-14 09:04 67 楼 0 牛人们应该知道这个博客吧？http://j00ru.vexillium.org/?p=1272 这篇文章就讲的是一个ntfs文件格式解析漏洞，深入内核的！
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 2012-12-14 11:38 68 楼 0 坐等真相啊。。会不会杀软的主动防御，扫到的残余病毒。。。报什么病毒呢？
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 1 关注私信	baiyunbian 2012-12-14 11:44 69 楼 0 NOD32直接干掉了，哪有那么神!
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 1 关注私信	baiyunbian 2012-12-14 11:52 70 楼 0 附件下不了?!
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-14 13:21 71 楼 0 经过反复测试下断点,总算搞明白原理了(usb hid 攻击).原来u盘是特制的没有利用任何漏洞.这事很鬼异啊..
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-14 13:30 72 楼 0 现在急求大神,如何dump和分析u盘的固件程序.
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 483 粉丝 0 关注私信	kangcin 2012-12-14 13:45 73 楼 0 看到一篇文章:http://weijishijie.blog.51cto.com/314724/284492
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-14 13:50 74 楼 0 附加USB键盘、USB鼠标等人机交互设备（HID）类接口描述符，则该USB打印机插入USB接口后除了识别出USB打印机之外，会识别出附加的键盘、鼠标等输入设备。如果通过自定义USB固件进行自动输入，模拟用户输入操作计算机，后果不堪设想，将硬盘格式化掉也不是没有可能。回楼上,对就是这玩意儿
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 2012-12-14 14:24 75 楼 0 恭喜啊，U盘里面放上自己的木马，以后想弄谁，走上去查下U盘就欧拉，这种特制的U盘，去哪儿找了……
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

blackwhite

发帖

247

回帖

RANK

关注

私信

他的文章

[原创]IE6/7 EXP通用不死技巧

[原创]再读堆风水MS06-067调试笔记

VEH函数入口的快速定位

[原创]永信至诚e春秋平台CTF比赛放大镜后门分析

[讨论]2014中国黑客榜(beta版)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (118) ◀ 1 2 3 4 5 ▶
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2012-12-12 22:28 51 楼 0 看了半天都没看出啥东西,太玄乎了吧
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 2012-12-12 22:32 52 楼 0 本在构思一个类似程序，没想到早有大牛做出来了
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 2012-12-12 22:43 53 楼 0 我擦这么神奇围观一下
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 2012-12-12 23:07 54 楼 0 bin dll里面很简单，关键在于启动 ...上传完整 exe 吧大神
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 21 关注私信	半斤八兩 10 2012-12-12 23:08 55 楼 0 据你说,也在不同平台测试过了, 那就基本断定和USB驱动有关了. 有条件的话,建议你在 WIN7 WIN8 x86 x64 都测试一下.
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 2012-12-12 23:27 56 楼 0 麻烦大神告知这么u盘的信息，以及产地型号，厂商，以及用hex 看看 u盘的扇区信息复制贴出来，如果真有奇异的地方，估计这个更容易发现....
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 2012-12-13 08:17 57 楼 0 U盘可能是特制的吧，不是有USB HID Attack吗，就是模拟键盘，通过发按键运行程序的那种。楼主可以用API监控工具看看到底是那个进程，通过哪个过程运行了木马，也好让俺们缩小范围，这样随便猜很不靠谱。
死鱼高达雪币： 480 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 2012-12-13 08:24 58 楼 0 我看出来了，楼主就是来黑mj的:)~~~~~~~
zhouws 雪币： 3019 活跃值： (1159) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 2012-12-13 09:06 59 楼 0 楼主有U盘，可以下断点检测一下。loadimage判断dll加载，createprocess看exe的启动
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 212 粉丝 0 关注私信	liuganchao 2012-12-13 09:14 60 楼 0 断定娱乐帖子~~~ 我早就告诉你是跟解析磁盘有关了，你也不把整个盘DUMP下来，藏头露尾~~~
sfstream 雪币： 782 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sfstream 2012-12-13 10:44 61 楼 0 这么神奇，收藏了，坐等真相！
justin108 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 1 关注私信	justin108 2012-12-13 11:00 62 楼 0 linux下面if把所有扇区都都读出来看看。
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2012-12-13 11:13 63 楼 0 上调试器，下断点，看堆栈回溯
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-13 12:52 64 楼 0 上调试器试了下,在r3层建进程那儿下断,能拦下explorer加载的exe,其实看exe的上级进程也能看到是 explorer.
qduliyang 雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 2012-12-13 17:56 65 楼 0 那个数字签名是假的~·更让人怀疑这个文件有问题了~ 莫非是mj新发现漏洞，然后一激动不小心把优盘掉了~~ 楼主是什么杀毒软件，报毒的文件时什么啊，建议一并发上来看看啊~~
hackerlzc 雪币： 1689 活跃值： (380) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 14 关注私信	hackerlzc 10 2012-12-13 22:06 66 楼 0 可能是固件中的信息异常，触发了U盘通用驱动中的洞吧。个人猜测，应该是特制U盘。
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 84 粉丝 1 关注私信	DENGXINSD 1 2012-12-14 09:04 67 楼 0 牛人们应该知道这个博客吧？http://j00ru.vexillium.org/?p=1272 这篇文章就讲的是一个ntfs文件格式解析漏洞，深入内核的！
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 2012-12-14 11:38 68 楼 0 坐等真相啊。。会不会杀软的主动防御，扫到的残余病毒。。。报什么病毒呢？
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 1 关注私信	baiyunbian 2012-12-14 11:44 69 楼 0 NOD32直接干掉了，哪有那么神!
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 1 关注私信	baiyunbian 2012-12-14 11:52 70 楼 0 附件下不了?!
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-14 13:21 71 楼 0 经过反复测试下断点,总算搞明白原理了(usb hid 攻击).原来u盘是特制的没有利用任何漏洞.这事很鬼异啊..
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-14 13:30 72 楼 0 现在急求大神,如何dump和分析u盘的固件程序.
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 483 粉丝 0 关注私信	kangcin 2012-12-14 13:45 73 楼 0 看到一篇文章:http://weijishijie.blog.51cto.com/314724/284492
blackwhite 雪币： 411 活跃值： (247) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 2012-12-14 13:50 74 楼 0 附加USB键盘、USB鼠标等人机交互设备（HID）类接口描述符，则该USB打印机插入USB接口后除了识别出USB打印机之外，会识别出附加的键盘、鼠标等输入设备。如果通过自定义USB固件进行自动输入，模拟用户输入操作计算机，后果不堪设想，将硬盘格式化掉也不是没有可能。回楼上,对就是这玩意儿
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 2012-12-14 14:24 75 楼 0 恭喜啊，U盘里面放上自己的木马，以后想弄谁，走上去查下U盘就欧拉，这种特制的U盘，去哪儿找了……
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复