Может ли неустановленное USB-устройство заразить мою вредоносную программу?
Вчера я зашел на мрачный жуткий сайт, чьи js заморозили мой system/firefox (Ubuntu 14.04 до сих пор, Firefox 37.0.1 до сих пор). Теперь я попытался из той же системы найти любую вредоносную программу, в которой:
sudo chkrootkit
и
sudo rkhunter --check
не показывали ничего, кроме ложных срабатываний по умолчанию.
Я знаю, что рекомендуется делать это с liveCD или liveUSB, что затрудняет скрытие вредоносной программы. У меня есть liveUSB SystemRescueCD , но я не знаю, как этого добиться. Я почти уверен, что мне понадобится смонтировать «зараженное устройство», чтобы проверить его, но каждый учебник, который я нашел, только что упоминался to do the commands which I have posted above from a LiveUSB. Не как, и я уверен, что chkrootkit и rkhunter не могут проверить файловую систему без ее монтирования.
Однако теперь я нахожусь в моей, возможно, зараженной системе с LiveUSB, подключенным к , но не смонтированным . (Я отключил автомонтирование по нескольким причинам)
Может ли быть так, что мой LiveUSB теперь также заражен, даже если он не смонтирован? Я знаю, что вредоносная программа может записывать на устройство даже без его монтирования, но это полностью разрушит файловую систему на USB. Где я могу посмотреть историю монтирования, если вредоносная программа сделала это без моего ведома? Я знаю, для этого ему понадобился бы мой пароль пользователя, но кто сказал, что вредоносная программа не регистрировала мою клавиатуру при выполнении команды sudo?
1 ответ
Отвечать на фактический вопрос:
Да, программное обеспечение может записать в устройство непосредственно, но вопреки Вашему предположению это не уничтожает файловую систему, так как программное обеспечение также может читать непосредственно из файловой системы. Если бы программное обеспечение делает все правильное, это было бы просто похоже на чтение и запись обычного (косвенного) пути. Помните, что это просто должно было сделать то, что Ваша система делает все время. Плюс, программное обеспечение не должно было бы заботиться ни о каких полномочиях, управляемых файловой системой.
Однако †“и здесь прибывает, хорошее сообщение †“, чтобы читать или записать непосредственно требует доступа для чтения-записи к файлам устройств, например /dev/sdb. Этот доступ только предоставляется суперпользователю.
можно попробовать это сами путем ввода
dd if=/dev/sda bs=32 count=1
в терминал. /dev/sda Ваш первый жесткий диск, замените его тем, что Ваша карта с интерфейсом USB (вероятно /dev/sdb), если Вы хотите протестировать его на него и не Ваш жесткий диск.
Вы доберетесь
dd: failed to open ‘/dev/sda’: Permission denied
, как произведено.
, Если бы Вы сделали это с sudo или как корень, это записало бы кулаку 32 байта Вашего жесткого диска / Ваша карта с интерфейсом USB к консоли.
Однако необходимо знать о том, что обычные пользователи могут на самом деле смонтировать устройства. Таким образом, никакой прямой доступ к устройству не необходим, и вредоносное программное обеспечение может считать и записать использование нормального (косвенного) пути.
можно протестировать это сами путем ввода команды
mount /dev/sdb1 /some/directory/already/in/place
, где /dev/sdb1 первый раздел карты с интерфейсом USB.