使用Linux识别BadUSB

Question

使用Linux，是否可以检测到任意的USB设备是否是BadUSB？

例如：

1. 将Linux引导到multi-user.target。
   • 没有图形界面/ tty (getty登录)。

2. 将USB插入PC机。
3. 等待并查看它是否开始在tty上键入任何字符。

这些步骤是否足以检测BadUSB？

这个答案指出：

妥协的设备可以很容易地模拟“好”设备的任何和所有响应，直到和除非满足某些条件，当它将部署一个有效载荷时。

然而，这一个说：

受黑客攻击的固件对计算机的访问权限有限，无法检测正在使用的操作系统，也无法推断有关计算机状态的任何信息。所以，如果你把它插在屏幕锁定的电脑上，USB上的“程序”就不能检测到屏幕是锁定的，通常会发送按键，因为屏幕被锁定了，所以无法做任何事情。

Answer 1

BadUSB不能只以HID设备的形式出现，当插入时模仿键盘和插入击键。还有一些变体，如来自BashBunny的hak5和logitacker，它们安装了一个网络设备来与主机系统通信。

因此，我建议采取以下办法：

1. 使用空隙系统和只读直播系统。
2. 使用tail -f /var/log/messages将设备插入主机时监视系统日志(取决于所使用的发行版)

备选方案：

使用udevadm monitor查看任何新设备的内核事件和安装

Answer 2

根据设备的不同，您可以尝试拆解它，看看它是否“正常”。如果有一些EEPROM，您可以转储它，并尝试比较它与官方固件，如果可用的话。您还可以尝试分析USB通信量，并查看它是否符合预期的行为。有一些硬件工具(GreatFet，Facedancer，露娜.)或者像Wireshark这样的软件也可以分析设备和PC之间发送的内容。

此外，还包括：

受黑客攻击的固件对计算机的访问权限有限，无法检测正在使用的操作系统，也无法推断有关计算机状态的任何信息。所以，如果你把它插在屏幕锁定的电脑上，USB上的“程序”就不能检测到屏幕是锁定的，通常会发送按键，因为屏幕被锁定了，所以无法做任何事情。

如果设备只是模仿其他设备的话，也许是真的。但是，取决于固件的功能和该固件安装在哪种USB设备上，它很可能知道它插入的是哪种操作系统，知道正在发生什么，安装恶意驱动程序，返回任意数据.