怎样反制红队“硬件“攻击

最新推荐文章于 2024-05-03 20:01:58 发布
最新推荐文章于 2024-05-03 20:01:58 发布
阅读量737 收藏 3
点赞数 1
分类专栏: 安全 网络 程序员 文章标签: 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121287533
版权
本文介绍了如何使用Windows SDK反制红队的BadUSB硬件攻击。通过监听WM_DEVICECHANGE消息,捕获BadUSB插入事件,并在设备插入后自动执行命令行烧录代码,覆盖红队可能修改的程序。文章详细阐述了代码分析流程、消息响应实现以及实际使用过程,提供了一种防御硬件攻击的新思路。
摘要由CSDN通过智能技术生成

前言

随着红蓝对抗日益激烈,而红队的攻击点从原有的Web方法,也涉及到了很多的方向,例如硬件攻击。

而硬件攻击最显著的就是Badusb。说起这个玩意儿。想必大家都知道,网上一搜一大堆制作文章。

【查看学习资料】

在这里插入图片描述

另一种烧录BadUsb

网上的确有大多数BadUsb的烧录方法,但都是基于arduino界面的烧录,但经过本人研究

arduino也是可以通过命令行参数进行烧录的,具体如下:

C:\Users\Administrator\Desktop\Arduino\arduino_debug.exe --port COM端口 --upload 烧录的内容文件

文件路径的话,可以看如下图,当对内容进行保存的时候,给出了详细信息,后缀名为ino,经过笔者用命令行编译试验,路径要为:

C:\\xxx\\sketch_apr01a\sketch_apr01a.ino

sketch_apr01a为项目文件,而在上层还要有一个sketch_apr01a名字的目录
在这里插入图片描述

代码分析流程

Windows sdk开发中,任何一个窗口都能接收消息并响应。同理 BadUSB或U盘插入或拔出也会有相应的消息与响应。

用到的消息为:WM_DEVICECHANGE

(通知应用程序对设备或计算机的硬件配置进行更改,通过WindowProc函数接收消息)

函数原型如下:

LRESULT CALLBACK WindowProc ( HWND hWnd, 
                              UINT message,
                                WPARAM wParam, 
                                LParam);

WindowProc中第三个参数wParam,指向发生的事件,该参数Dbt.h头文件找那个的值。说说我们要用到的宏吧,Dbt.h中:

DBT_DEVICEARRIVAL //设备插入会进行响应
DBT_DEVICEREMOVECOMPLETE //设备拔出时响应

代码实现消息响应

首先来看WndProc函数。具体实现就是通过一个case来进行消息响应的
在这里插入图片描述
添加自己的消息响应,以下代码当BadUSB插入之后,会弹窗显示设备插入。

case WM_DEVICECHANGE://捕获设备更改时的消息
    switch (wParam){
   
    case DBT_DEVICEARRIVAL://捕获设备插入
      MessageBoxA(NULL, "设备插入", "test", NULL);
      break;
    case DBT_DEVICEREMOVECOMPLETE://捕获设备弹出
      MessageBoxA
最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
32种针对硬件与固件的漏洞攻击
dian66_ITO的博客
06-28 2417
2018年1月,全球计算机行业因为Meltdown以及Spectre这两个在处理器中存在的新型漏洞而受到威胁。这两个漏洞直接打破了分离内核以及用户内存的OS安全边界。这两个漏洞基于了现代CPU的预测执行功能,而缓解这两个漏洞带来的影响则需要有史以来最大的补丁计划,范围涉及CPU制造商、设备制造商以及操作系统供应商。 Meltdown和Spectre绝不是最早的硬件漏洞,但它们确实引起安全研究者开始注意这种类型的漏洞。从那时开始,许多学术界与私人领域的研究者,都开始研究CPU以及其他硬件组件的低阶运行情况,以
红队系列-溯源与应急反制专题
aming小老弟
11-09 535
日志分析、流量特征分析、内存马。
聊聊红队反制
SHELLCODE_8BIT的博客
12-28 362
1.要经常更新自己干活的工具,goby,chrome,burp等一列扫描器,避免被反击 2.干活机和个人机永远隔离
对正在打野发育的红队同学的一次反制
Love&Share
12-08 1588
文章目录故事开始其他反制思路隐蔽C2CS重定向器实验 故事开始 真的是对同学的反制哈,我们最近都在学习内网&钓鱼就互相”攻击“,就有那么一天我就在想我懒把CS登录密码设置的很简单,会不会其它人也懒,于是就抱着尝试的心态把手伸向了”Jerry同学“,谁让她上次钓鱼来着,历历在目,我是链接 穷学生么,一般学习就拿自己的云服务器了,她的CS TeamServer肯定就搭建在服务器上了 尝试用自己的CS Client连接 主机就是她博客域名,啥用户名、端口就默认,估计也懒得改 接下来就是激动人心的.
技术研究 | 我所了解的物联网设备渗透手段(硬件篇)
weixin_30384031的博客
02-12 738
0×01.前言 本科所学专业就是IoT,面试安全岗位时大部分面试官都会问我写IoT安全相关的东西,虽然最后拿到offer定的岗位都是侧重web的。前几天接到科恩的面试通知(IoT安全硬件方向),就花了半天的时间整理了下本科期间做过的有关IoT安全的技术、demo等。 0×02.废话连篇 先说下我个人对IoT的看法,物联网关键的在于“网”这个字,万物互联,靠的就是“网”,至于这个“网”,实现的...
改进版 | 浅析几种HID硬件攻击
蚁景网安学院
05-31 975
本文原创作者:MR.zhang原创投稿详情:重金悬赏 | 合天原创投稿等你本篇文章在上篇文章上做了改进,写得更详细生动,可收藏学习!0x01 WhatIs HIDHID全称为Human...
红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?
systemino的博客
11-07 1064
关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检测的有效载荷以及绕过Windows保护(例如AMSI)的注意事项。另外,我们还在这篇文章的末尾整理了一份参考文献,如果你感兴趣可以参考。 出于安全原因,渗透测试中的客户名称和相关信息已被匿名化。...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1445
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
USB硬件攻击危险性初步分析
crystal0011的专栏
12-19 1486
版权申明:转载自billy 1 引言  PC高速总线串行化的“先导者”,当属USB外设总线。今天,可连接多种外设,支持即插即用(PnP)和热插拔的USB外设总线/接口,已基本取代以往用于连接外设的并口和串口。支持PnP和热插拔的USB总线给用户使用外设带来了方便,但与此同时,也能给基于USB硬件攻击大开方便之门。由于传统安全软件多注重防范通过网络和软件进行的传统攻击,普通PC用户又对USB
硬件安全-物理攻击的类型及比特流加密和认证
von_markmiao4的博客
12-01 582
在针对硬件攻击时,攻击者可以把恶意功能植入电路中,这就为在后续发动针对该电路的攻击(无意的设计缺陷也会导致系统中存在漏洞)提供了可能性。在物理攻击情况下,攻击者能够实现针对该器件的物理控制。。例如,若攻击者能够对智能卡终端实现物理控制,则其完全有可能对此智能卡终端发动的旁路攻击。由于智能卡完全依赖于终端提供的电源,因此相关攻击可以采取简单的功率分析、功率差分析,或者针对加密电路进行错误注入以便获得密钥。需要拆除封装,但不会对芯片造成任何物理更改或者损坏的旁路攻击方式称为。
网络安全】怎样反制红队硬件攻击
瓦罗兰特顶级C位的博客
05-24 194
随着红蓝对抗日益激烈,而红队攻击点从原有的 Web 方法,也涉及到了很多的方向,例如硬件攻击
基于边信道的硬件攻击小综述
qq_38140936的博客
12-16 1588
1. 什么是边信道攻击? ​ 边信道攻击:side channel attack,简称SCA,也称为侧信道攻击。不同于一般的攻击形式,这是一种对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息进行利用,从而获取密码信息的方法。这类攻击的有效性远高于传统针对密码算法进行数学分析或暴力破解的方法,给加密设备带来了严重的威胁。 1.1 一般分类 缓存攻击,通过获取对缓...
新型USB病毒BadUSB 即使U盘被格式化也无法根除
weixin_30655219的博客
08-02 238
这种病毒并不存在于USB设备中的存储文件中,而是根植于USB设备的固件里。这意味着,即使用户对U盘进行全面的格式化清理,仍不能“杀死”它。 转载于:https://www.cnblogs.com/baiduligang/p/4247144.html...
badusb(一)环境配置
B0rn_T0_W1n的博客
12-03 2005
badusb 环境配置
数据泄露防护- BadUSB 制作 模拟
右耳听见雨
04-25 6760
1. 什么是BadUSB    找度娘/谷歌爷爷 2. 参考网站 https://github.com/adamcaudill/Psychson/wiki/Known-Supported-Devices https://github.com/adamcaudill/Psychson  (有具体制作BadUSB 的流程说明 ) 3. 必要工具   badusb
Badusb制作及使用(渗透windows)
QQ670663的博客
06-19 7007
目录一、安装Dpinst驱动二、配置Automator三、实现插入Babusb远程渗透win10系统“BadUSB”是计算机安全领域的热门话题之一,该漏洞由Karsten Nohl和Jakob Lell共同发现,并在BlackHat安全大会上公布。BadUSB最可怕的一点是恶意代码存在于U盘的固件中,由于PC上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着杀毒软件和U盘格式化都无法应对BadUSB进行攻击。........................
2024年网络安全最全信息安全学习笔记(计算机三级)_三级信息安全技术笔记(1)
最新发布
2401_84302507的博客
05-03 1237
常见的DDOS攻击手段包括:HTTP Flood攻击、SYN FLood攻击、DNS放大攻击4、拒绝服务攻击的特点5、拒绝服务攻击的方式6、远程口令破解的流程7、网络攻击模型 【攻击树杀伤CK】可以被red team用来进行渗透测试,同时也可以被blue team用来研究御机制优:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景缺:由于树结构的内在限制,攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景;不能用来建模循环事件;
Bad usb实现U盘攻击
qq_40624810的博客
09-18 7326
1、Bad usb介绍及原理 介绍 BadUSB是利用伪造HID设备执行攻击载荷的一种攻击方式。用户插入BadUSB,就会自动执行预置在固件中的恶意代码,如下载服务器上的恶意文件,执行恶意操作等。由于恶意代码内置于设备初始化固件中,而不是通过autorun.inf等媒体自动播放文件进行控制,因此无法通过禁用媒体自动播放进行防御,杀毒软件更是无法检测设备固件中的恶意代码。这种攻击方式可以在不经意...
从零开始学badusb(4)--badusb盗取wifi密码
azraelxuemo的博客
05-28 1796
这次为大家带来的是 badusb盗取wifi密码 友情提示一下 delay时间要设置好 我测试的时候就因为电脑卡了导致操作失败 不敢时间的话间隔设置大一点 #include <Keyboard.h> void setup() { Keyboard.begin(); delay(1000); Keyboard.press(KEY_LEFT_GUI); delay(500); Keyboard.release(KEY_LEFT_GUI); delay(500); Keyboa
红队攻击资源大全:信息收集到权限提升
"红队资源库.txt 提供了关于红队攻击生命周期以及相关安全资源的列表,包括信息收集、权限获取、持久化控制等各个阶段,并列举了一系列用于研究、学习和防御的开源工具、文档和社区链接。" 在红队攻击的生命周期中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值