11 - Форум по вопросам информационной безопасности
11 - Форум по вопросам информационной безопасности
| Автор: Что ведет себя как USB? | 109137 | 01.04.2021 20:45 |
|
Доброго времени суток, Уважаемые коллеги!!!
Вводная: Сегодня при проверке машины (находится в локальной сети) на предмет ранее подключенных USB-устройств, в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR обнаружены записи вида: Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&10c138a&0&HT33GLP00868&2 Название класса: <Класс отсутствует> Последнее время записи: 01.04.2021 - 11:44 Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&10c138a&0&HT33GLP00868&2\Device Parametrs Название класса: <Класс отсутствует> Последнее время записи: 01.04.2021 - 11:44 Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&10c138a&0&HT33GLP00868&2\LogConf Название класса: <Класс отсутствует> Последнее время записи: 01.04.2021 - 11:44 ... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&ZALMAN&Prod__Virtual_CD-Rom&Rev_\______XX00000001x0 Название класса: <Класс отсутствует> Последнее время записи: 01.04.2021 - 11:44 ... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&c3b28c&0&HT48LW900760&0 Название класса: <Класс отсутствует> Последнее время записи: 01.04.2021 - 11:44 ... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_&Rev_8.07 Название класса: <Класс отсутствует> Последнее время записи: 01.04.2021 - 11:44 Достоверно известно, что в этот момент времени никакие USB-устройства к компьютеру не были подключены. Вопрос: Что это такое? С чем едят? Куда копать? ЗАРАНЕЕ СПАСИБО ВСЕМ!!! |
|
| Автор: Коллега | 109138 | 02.04.2021 03:48 |
|
Дак судя по всему это устройства, определяемые при подключении смартфона HTC на Андроиде и какой-то Виртуальный CD-ROM через USB-интерфейс. Смотрите Журнал SecretNet (или аналогов) или ОС, если А(И)С классифицирована на предмет включения АРМ, работы с ним и подключений к нему железяк. Из неоткуда не может взяться запись в реестре ОС. Стоит-ли блокировка подключений к АРМ устройств ? Если только какие-то отложенный по времени действия, но тогда стоит АРМ антивирусами на предмет вредоносного ПО. Можно погуглить, но там много лишнего выдает и нужно копаться глубоко. Можно тестово подключить к этому АРМ ранее не подключавшееся устройства с USB-интерфейсом и посмотреть как реагирует система на новое оборудование и далее составить Акт о проверке системы НСД (например), что бы зафиксировать работы.
|
|
Просмотров темы: 796
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"