BadUSB随笔

 2021-04-14    516  

BadUSB是根据Arduino Leonardo重新简化设计的一个小开发板,核心代码是通过国外相关开源资料修改编译的。唯一不同是BadUSB没有bootloader,不可以通过Arduino IDE实现二次开发。当然,如果你要是相关专业的,可以通过ISP方式给主控重新写程序,当然,如果一旦擦除主控里程序的话,它也就失去BadUSB的功能了,而我也无法为你提供主控程序。


如果你有问题,可以在下面留言,我会尽量解答!


脚本怎么写?

其实非常简单,打开系统自带的记事本,按语法编写自己需要的脚本,然后保存文件,保存的文件名一定要是pecmd.txt,然后把这个文件拷贝到TF卡的根目录即可。

有些朋友习惯直接右键--新建文本文档,然后再重命名为pecmd.txt,这里有个问题需要注意下,就是你的系统是否已经启用了“隐藏已知文件类型的扩展名”选项,如果已启用,你的操作方法可能会导致文件名变成pecmd.txt.txt,这个需要格外注意,因为最后一个.txt其实是隐藏的。


TF卡的容量大小和格式的问题

我测试过的是32G,请使用FAT32格式,不要使用NTFS\FAT\exFAT等格式,因为这些格式我都没试验过~~


有的朋友问,为什么BadUSB插入电脑不能识别出可移动磁盘?如果这样是不是就可以不用额外的读卡器了。

这个问题有以下三点:

1、BadUSB不是简单的读卡器,主控直接读取TF卡内脚本并执行,并没有把TF卡直通到系统中,况且主控的速度实在不够做数据的处理和中转。

2、目前已经有杀毒软件能够检测BadUSB,如果再把它模拟成一个可移动磁盘,会更容易被误杀。

3、如果让TF卡在系统中显示成可移动磁盘,既减慢了速度,因为需要识别可移动磁盘和键盘后才能执行,又要增加盘符判断等功能,BadUSB本身就是一个盲操作,这样操作的不确定性又增加了。

总之,让主控直接读取TF卡内脚本执行好,还是让主控生成判断脚本找盘符好呢?这个问题可能只有新手才会这么想,等了解了BadUSB的运作原理就会打消这个想法。


关于指示灯的闪烁问题

主要有4种闪烁状态:

1、特别快(1秒好几下),这种一般是没识别到TF卡,可能是格式不对,容量过大等问题。

2、特别慢(1秒也就1下),这种一般是脚本已经执行完了,处于一个待机状态,你可以理解它在抽根烟歇息下。

3、中等速度(1秒2-3下),这种一般是已经识别TF卡,但是没有找到对应脚本文件,这个你就要检查下文件名对不对了。

4、长亮(这个不用形容),这种情况是脚本正在执行,等着就行了,一般大的脚本可能需要等一段时间,如果脚本很小还是长亮,需要考虑下是不是主控死机了~~。


脚本写的对,但是插上电脑没有任何反应

BadUSB的主控程序不会等到系统识别到硬件并安装好驱动再执行,而是只要上电就会执行,所以脚本的延时就非常重要了。

一般脚本第一句都是延时,这个延时的时间长度就是一台电脑自动安装一个新设备所需要的时间,根据CPU的快慢和系统健康状态,从3-5秒到几十秒的都有,所以要根据目标电脑的情况适当设置延时。

另外,如果电脑已经使用过一次BadUSB之后,通常以后再使用的识别时间要非常短,因为驱动已经安装过了。

有的朋友在写脚本的时候,可能第一次写的脚本延时比较长,后来就给改短了,因为总在一台电脑上试验,电脑已经有了驱动,每次识别都会非常快,感觉不用延时那么长时间,但是拿到新电脑上多了硬件识别的过程,延时已经过了,等硬件识别好,脚本也执行完了,看着就像没执行一样。

总之,脚本的延时要考虑电脑第一次使用BadUSB的情况。


能不能下载文件或者执行某个exe文件?

这个问题很尴尬,新手都会问这个问题,其实了解了BadUSB的原理之后就不会有这种想法了。

BadUSB只是一个模拟键盘操作的工具,它不是U盘,卡里保存不了可执行文件,保存了也不能执行,它更不是下载器,不能随意下载文件。使用BadUSB相当于你闭着眼睛按键盘,大脑里想象着你在干什么。

想象一下,你闭着眼睛坐在电脑前,你要ping一个IP地址,你会怎么操作呢?

1、打开运行。运行怎么打开呢?哦,有个快捷键WIN+R。

2、输入ping www.baidu.com -t。

3、回车。

4、大脑里想象着是来自xxx的回复呢还是请求超时。

通过一系列键盘动作,我可以闭着眼睛ping一个IP地址,但是到底通没通,我也不知道,反正黑黑的装逼框框是出来了。如果想深入判断就需要再加脚本,通过批处理继续操作,这就是BadUSB的功能 。


持续更新中...2021.04.15

  •  标签:  

发表评论:

原文链接:http://pecmd.com/?id=76

=========================================

http://pecmd.com/ 为 “刚先生” 唯一官方服务平台,请勿相信其他任何渠道。