绝对强悍U盘传播0day漏洞曝光-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

绝对强悍U盘传播0day漏洞曝光

发表于: 2012-12-12 17:11 29741

绝对强悍U盘传播0day漏洞曝光

blackwhite 活跃值

2012-12-12 17:11

29741

查看主题内容

收藏・19

免费・6

支持

最新回复 (118) ◀ 1 2 3 4 5 ▶
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 51 楼看了半天都没看出啥东西,太玄乎了吧 2012-12-12 22:28 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 52 楼本在构思一个类似程序，没想到早有大牛做出来了 2012-12-12 22:32 0
lhwqqq 雪币： 47 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 89 粉丝 0 关注私信	lhwqqq 53 楼我擦这么神奇围观一下 2012-12-12 22:43 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 54 楼 bin dll里面很简单，关键在于启动 ...上传完整 exe 吧大神 2012-12-12 23:07 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 55 楼据你说,也在不同平台测试过了, 那就基本断定和USB驱动有关了. 有条件的话,建议你在 WIN7 WIN8 x86 x64 都测试一下. 2012-12-12 23:08 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 56 楼麻烦大神告知这么u盘的信息，以及产地型号，厂商，以及用hex 看看 u盘的扇区信息复制贴出来，如果真有奇异的地方，估计这个更容易发现.... 2012-12-12 23:27 0
luckyrayb 雪币： 6 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 57 楼 U盘可能是特制的吧，不是有USB HID Attack吗，就是模拟键盘，通过发按键运行程序的那种。楼主可以用API监控工具看看到底是那个进程，通过哪个过程运行了木马，也好让俺们缩小范围，这样随便猜很不靠谱。 2012-12-13 08:17 0
死鱼高达雪币： 490 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 58 楼我看出来了，楼主就是来黑mj的:)~~~~~~~ 2012-12-13 08:24 0
zhouws 雪币： 3162 活跃值： (1319) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 59 楼楼主有U盘，可以下断点检测一下。loadimage判断dll加载，createprocess看exe的启动 2012-12-13 09:06 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 60 楼断定娱乐帖子~~~ 我早就告诉你是跟解析磁盘有关了，你也不把整个盘DUMP下来，藏头露尾~~~ 2012-12-13 09:14 0
sfstream 雪币： 782 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sfstream 61 楼这么神奇，收藏了，坐等真相！ 2012-12-13 10:44 0
justin108 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 1 关注私信	justin108 62 楼 linux下面if把所有扇区都都读出来看看。 2012-12-13 11:00 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 63 楼上调试器，下断点，看堆栈回溯 2012-12-13 11:13 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 64 楼上调试器试了下,在r3层建进程那儿下断,能拦下explorer加载的exe,其实看exe的上级进程也能看到是 explorer. 2012-12-13 12:52 0
qduliyang 雪币： 52 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 65 楼那个数字签名是假的~·更让人怀疑这个文件有问题了~ 莫非是mj新发现漏洞，然后一激动不小心把优盘掉了~~ 楼主是什么杀毒软件，报毒的文件时什么啊，建议一并发上来看看啊~~ 2012-12-13 17:56 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 17 关注私信	hackerlzc 10 66 楼可能是固件中的信息异常，触发了U盘通用驱动中的洞吧。个人猜测，应该是特制U盘。 2012-12-13 22:06 0
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 81 粉丝 1 关注私信	DENGXINSD 1 67 楼牛人们应该知道这个博客吧？4fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3Z5H3x3s2u0#2i4K6u0W2N6X3g2^5K9h3I4D9K9i4g2E0i4K6u0W2L8%4u0Y4i4K6u0r3i4K6y4r3M7q4)9K6c8o6p5J5y4K6u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4#2!0m8c8W2)9^5y4#2!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4#2!0m8b7W2!0m8x3q4!0q4y4g2!0n7x3q4!0n7x3g2!0q4z5q4!0m8c8g2!0n7x3W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7h3&6@1k6Y4y4Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0k6Q4b7e0m8Q4b7V1y4Q4c8e0g2Q4b7V1y4Q4z5p5k6Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0k6Q4z5f1g2Q4z5e0m8Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4b7U0N6Q4b7U0q4Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0k6Q4b7e0m8Q4b7U0S2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8f1k6Q4b7V1y4Q4z5o6p5`. 2012-12-14 09:04 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 68 楼坐等真相啊。。会不会杀软的主动防御，扫到的残余病毒。。。报什么病毒呢？ 2012-12-14 11:38 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 69 楼 NOD32直接干掉了，哪有那么神! 2012-12-14 11:44 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 70 楼附件下不了?! 2012-12-14 11:52 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 71 楼经过反复测试下断点,总算搞明白原理了(usb hid 攻击).原来u盘是特制的没有利用任何漏洞.这事很鬼异啊.. 2012-12-14 13:21 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 72 楼现在急求大神,如何dump和分析u盘的固件程序. 2012-12-14 13:30 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 73 楼看到一篇文章:754K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2K9h3A6A6M7$3S2A6K9X3W2W2i4K6u0W2j5X3I4G2k6#2)9J5k6e0f1I4j5%4c8G2i4K6u0W2j5$3!0E0i4K6u0r3x3K6p5@1y4K6t1@1i4K6u0r3x3U0R3@1y4o6V1J5 2012-12-14 13:45 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 74 楼附加USB键盘、USB鼠标等人机交互设备（HID）类接口描述符，则该USB打印机插入USB接口后除了识别出USB打印机之外，会识别出附加的键盘、鼠标等输入设备。如果通过自定义USB固件进行自动输入，模拟用户输入操作计算机，后果不堪设想，将硬盘格式化掉也不是没有可能。回楼上,对就是这玩意儿 2012-12-14 13:50 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 75 楼恭喜啊，U盘里面放上自己的木马，以后想弄谁，走上去查下U盘就欧拉，这种特制的U盘，去哪儿找了…… 2012-12-14 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

blackwhite

发帖

247

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (118) ◀ 1 2 3 4 5 ▶
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 639 粉丝 0 关注私信	xiejienet 51 楼看了半天都没看出啥东西,太玄乎了吧 2012-12-12 22:28 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 52 楼本在构思一个类似程序，没想到早有大牛做出来了 2012-12-12 22:32 0
lhwqqq 雪币： 47 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 89 粉丝 0 关注私信	lhwqqq 53 楼我擦这么神奇围观一下 2012-12-12 22:43 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 54 楼 bin dll里面很简单，关键在于启动 ...上传完整 exe 吧大神 2012-12-12 23:07 0
半斤八兩雪币： 223 活跃值： (516) 能力值： ( LV13，RANK：520 ) 在线值：发帖 68 回帖 610 粉丝 25 关注私信	半斤八兩 10 55 楼据你说,也在不同平台测试过了, 那就基本断定和USB驱动有关了. 有条件的话,建议你在 WIN7 WIN8 x86 x64 都测试一下. 2012-12-12 23:08 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 56 楼麻烦大神告知这么u盘的信息，以及产地型号，厂商，以及用hex 看看 u盘的扇区信息复制贴出来，如果真有奇异的地方，估计这个更容易发现.... 2012-12-12 23:27 0
luckyrayb 雪币： 6 活跃值： (54) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 57 楼 U盘可能是特制的吧，不是有USB HID Attack吗，就是模拟键盘，通过发按键运行程序的那种。楼主可以用API监控工具看看到底是那个进程，通过哪个过程运行了木马，也好让俺们缩小范围，这样随便猜很不靠谱。 2012-12-13 08:17 0
死鱼高达雪币： 490 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	死鱼高达 58 楼我看出来了，楼主就是来黑mj的:)~~~~~~~ 2012-12-13 08:24 0
zhouws 雪币： 3162 活跃值： (1319) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 59 楼楼主有U盘，可以下断点检测一下。loadimage判断dll加载，createprocess看exe的启动 2012-12-13 09:06 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 60 楼断定娱乐帖子~~~ 我早就告诉你是跟解析磁盘有关了，你也不把整个盘DUMP下来，藏头露尾~~~ 2012-12-13 09:14 0
sfstream 雪币： 782 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	sfstream 61 楼这么神奇，收藏了，坐等真相！ 2012-12-13 10:44 0
justin108 雪币： 206 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 1 关注私信	justin108 62 楼 linux下面if把所有扇区都都读出来看看。 2012-12-13 11:00 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 63 楼上调试器，下断点，看堆栈回溯 2012-12-13 11:13 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 64 楼上调试器试了下,在r3层建进程那儿下断,能拦下explorer加载的exe,其实看exe的上级进程也能看到是 explorer. 2012-12-13 12:52 0
qduliyang 雪币： 52 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	qduliyang 65 楼那个数字签名是假的~·更让人怀疑这个文件有问题了~ 莫非是mj新发现漏洞，然后一激动不小心把优盘掉了~~ 楼主是什么杀毒软件，报毒的文件时什么啊，建议一并发上来看看啊~~ 2012-12-13 17:56 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 17 关注私信	hackerlzc 10 66 楼可能是固件中的信息异常，触发了U盘通用驱动中的洞吧。个人猜测，应该是特制U盘。 2012-12-13 22:06 0
DENGXINSD 雪币： 55 活跃值： (75) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 81 粉丝 1 关注私信	DENGXINSD 1 67 楼牛人们应该知道这个博客吧？4fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3Z5H3x3s2u0#2i4K6u0W2N6X3g2^5K9h3I4D9K9i4g2E0i4K6u0W2L8%4u0Y4i4K6u0r3i4K6y4r3M7q4)9K6c8o6p5J5y4K6u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4#2!0m8c8W2)9^5y4#2!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4#2!0m8b7W2!0m8x3q4!0q4y4g2!0n7x3q4!0n7x3g2!0q4z5q4!0m8c8g2!0n7x3W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7h3&6@1k6Y4y4Q4c8e0k6Q4z5e0k6Q4z5o6N6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0k6Q4b7e0m8Q4b7V1y4Q4c8e0g2Q4b7V1y4Q4z5p5k6Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0k6Q4z5f1g2Q4z5e0m8Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4b7U0N6Q4b7U0q4Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0k6Q4b7e0m8Q4b7U0S2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8f1k6Q4b7V1y4Q4z5o6p5`. 2012-12-14 09:04 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 68 楼坐等真相啊。。会不会杀软的主动防御，扫到的残余病毒。。。报什么病毒呢？ 2012-12-14 11:38 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 69 楼 NOD32直接干掉了，哪有那么神! 2012-12-14 11:44 0
baiyunbian 雪币： 206 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 2 关注私信	baiyunbian 70 楼附件下不了?! 2012-12-14 11:52 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 71 楼经过反复测试下断点,总算搞明白原理了(usb hid 攻击).原来u盘是特制的没有利用任何漏洞.这事很鬼异啊.. 2012-12-14 13:21 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 72 楼现在急求大神,如何dump和分析u盘的固件程序. 2012-12-14 13:30 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 73 楼看到一篇文章:754K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2K9h3A6A6M7$3S2A6K9X3W2W2i4K6u0W2j5X3I4G2k6#2)9J5k6e0f1I4j5%4c8G2i4K6u0W2j5$3!0E0i4K6u0r3x3K6p5@1y4K6t1@1i4K6u0r3x3U0R3@1y4o6V1J5 2012-12-14 13:45 0
blackwhite 雪币： 411 活跃值： (262) 能力值： ( LV4，RANK：50 ) 在线值：发帖 31 回帖 247 粉丝 3 关注私信	blackwhite 1 74 楼附加USB键盘、USB鼠标等人机交互设备（HID）类接口描述符，则该USB打印机插入USB接口后除了识别出USB打印机之外，会识别出附加的键盘、鼠标等输入设备。如果通过自定义USB固件进行自动输入，模拟用户输入操作计算机，后果不堪设想，将硬盘格式化掉也不是没有可能。回楼上,对就是这玩意儿 2012-12-14 13:50 0
PEYlxZ 雪币： 159 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 123 粉丝 0 关注私信	PEYlxZ 75 楼恭喜啊，U盘里面放上自己的木马，以后想弄谁，走上去查下U盘就欧拉，这种特制的U盘，去哪儿找了…… 2012-12-14 14:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复