Bảo mật liên quan đến
việc sử dụng USB

Quản trị mạng – Trong bài này chúng tôi s
ẽ giới thiệu cho các bạn một số file bị thiết bị l
trữ USB phát sinh trên hệ thống, bên cạnh đó là cách thu thập v
à làm sáng t
xác định xem liệu USB có liên quan đến việc phát tán mã độc tr
ên máy tính Windows hay
không.
Mặc dù USB đã trở thành th
ứ không thể thiếu trong cuộc sống của bất cứ ai, nh
những thiết bị này c
ũng đặt ra một thách thức không nhỏ đối với việc bảo mật mạng.
Không gì rõ nét hơn như những gì xảy ra v
ào năm 2008, khi đó virus Conficker đ
lan với một tốc độ chóng mặt trên Internet và lây nhiễm hàng tri
ệu máy tính gia đ
doanh nghiệp, thậm chí nó còn tìm được cả đường để xâm nhập vào các m
ạng đ
bảo mật chặt chẽ của Bộ quốc phòng Mỹ. Lúc đó người ta bắt đầu để ý đến h
ành vi s
dụng USB của người dùng trong các mạng đư
ợc bảo vệ. Không những hiệu quả trong
việc tự nhân bản malware, các thiết bị này cũng có thể đư
ợc sử dụng để remove các
thông tin nhạy cảm, độc quyền hay thông tin m
ật từ một mạng một cách trái phép.
Với những lý do ở trên, việc đi kiểm tra các file đư
ợc bỏ lại sau khi cắm USB trở
thành một đề tài nóng trong vài năm gần đây.

ết bị USB đ
hệ thống. Bạn có thể nhanh chóng tìm ra các thông tin này theo đường
dẫn:HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR.
Ở đây bạn sẽ t
cắm vào hệ thống, cùng với đó là các thông tin khác như tên hãng, s
ố sản phẩm, số phi

Hình 1: Danh sách một số thiết bị USB cắm vào máy tính Windows 7 gần đây

Sau khi có được danh sách các thiết bị đã đư
ợc sử dụng, bạn cần xác định xem
các thiết bị đó là của ai. Điều này có thể được thực hiện nhưng ph
ải qua một số
bước bổ sung. Trong registry, trước tiên hãy truy cập
đếnHKLM\SYSTEM\MountedDevices. Bên trong vùng này, bạn có thể tìm
kiếm số serial của thiết bị đang được nói đến. Sau khi đã tìm ra s
ố serial, khóa
này sẽ cung cấp cho bạn GUID có liên quan với thiết bị.
Sau khi có được GUID thiết bị, bạn cần tập trung v
ào profile cá nhân trên máy
tính. Bên trong mỗi thư mục users profile (C:\Users) sẽ có một file
NTUSER.DAT. File này có thể đư
ợc mở bằng registry editor hệ thống với đặc
quyền quản trị viên. Để trói buộc người dùng nào đó với thiết bị nào, bạn cần
duyệt đến thư mục dưới đây bên trong NTUSER.DAT
hive:Software\Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2
Ở đây bạn có thể tìm kiếm GUID của thiết bị đang được nói đến. Nếu nó đư
ợc
tìm ra thì người dùng đó đã đăng nhập khi thiết bị USB được cắm vào h

cách kích File, sau đó Export từ bên trong regedit, khi khóa được chọn.

Hình 4: Xác định thời điểm cuối cùng USB được kết nối từ registry
Tự động trích rút
Ngoài việc tự tìm kiếm các thông tin ở trên, có r
ất nhiều công cụ có thể giúp bạn thực hiện việc n
Hai công cụ mà chúng tôi giới thiệu ở đây l
à USBDeview và Windows USB Storage (USBSTOR)
Parser. Công cụ đầu tiên, USBDeview có giao diện GUI, có thể trích rút và hi
ển thị các thông tin m
chúng ta có thể tìm được bằng phương pháp thủ công ở trên. Đây là ti
ện ích miễn phí v
download tại đây. Công cụ thứ hai mà chúng tôi đề cập có chức năng tương t
ự v
Windows lẫn Linux. Bạn có thể download công cụ đó tại đây.

Hình 5:: Sử dụng USBDeview để xem các file phát sinh do cắm USB
Kết luận
Trừ khi ở trong môi trường hoàn toàn không có các thiết bị USB thì có l
ẽ chúng ta mới không phải để ý
đến các thiết bị này có liên quan như thế nào đ
ến bảo mật hệ thống. Việc đó hầu nh
chúng tôi cho rằng bài viết này có r
ất nhiều kiến thức hữu dụng có thể giúp các bạn t
nhân của sự việc.