USB მოწყობილობის სკანირება

sd scan-usb ბრძანება დაკავშირებულ მოსახსნელ USB შენახვის მოწყობილობებს ადგენს და მათ შინაარსს მავნე პროგრამებზე სკანირებს. ეს კრიტიკულია გარემოებისთვის, სადაც USB დრაივები მავნე პროგრამის მიწოდების გავრცელებული ვექტორია, მაგ., air-gapped ქსელები, გაზიარებული სამუშაო სადგურები და სამრეწველო მართვის სისტემები.

როგორ მუშაობს

გამოძახებისას sd scan-usb შემდეგ ნაბიჯებს ასრულებს:

მოწყობილობის აღმოჩენა -- /sys/block/-ის გზით block მოწყობილობებს ჩამოთვლის და მოსახსნელ მოწყობილობებს (USB mass storage) ადგენს.
Mount-ის გამოვლენა -- ამოწმებს, დამაგრებულია თუ არა მოწყობილობა. თუ არა, შეიძლება სკანირებისთვის დროებით დირექტორიაში მხოლოდ-წასაკითხ რეჟიმში დააგრე.
სრული სკანი -- მოწყობილობის ყველა ფაილზე სრული გამოვლენის კონვეიერს (ჰეშ-შეჯამება, YARA წესები, ევრისტიკული ანალიზი) ახდენს.
ანგარიში -- ფაილ-ზე განაჩენებიანი სკანირების ანგარიშს წარმოქმნის.

ავტო-Mount

ნაგულისხმევად sd scan-usb უკვე დამაგრებულ მოწყობილობებს სკანირებს. სკანირებისთვის დამაუგრებელი USB მოწყობილობების მხოლოდ-წასაკითხ რეჟიმში ავტომატური დამაგრებისთვის --auto-mount-ის გამოყენება.

საბაზისო გამოყენება

ყველა დაკავშირებული USB შენახვის მოწყობილობის სკანირება:

bash

sd scan-usb

გამოტანის მაგალითი:

PRX-SD USB Scan
===============
Detected USB devices:
  /dev/sdb1 → /media/user/USB_DRIVE (vfat, 16 GB)

Scanning /media/user/USB_DRIVE...
Scanned: 847 files (2.1 GB)
Threats: 1

  [MALICIOUS] /media/user/USB_DRIVE/autorun.exe
    Layer:   YARA rule
    Rule:    win_worm_usb_spreader
    Details: USB worm with autorun.inf exploitation

Duration: 4.2s

ბრძანების პარამეტრები

პარამეტრი	მოკლე	ნაგულისხმევი	აღწერა
`--auto-quarantine`	`-q`	გამორთ.	გამოვლენილი საფრთხეების ავტომატური კარანტინიზება
`--auto-mount`		გამორთ.	დამაუგრებელი USB მოწყობილობების მხოლოდ-წასაკითხ რეჟიმში დამაგრება
`--device`	`-d`	ყველა	მხოლოდ კონკრეტული მოწყობილობის სკანირება (მაგ., `/dev/sdb1`)
`--json`	`-j`	გამორთ.	შედეგების JSON ფორმატში გამოტანა
`--eject-after`		გამორთ.	სკანირების შემდეგ მოწყობილობის უსაფრთხო ამოღება
`--max-size-mb`		100	ამ ზომაზე დიდი ფაილების გამოტოვება

ავტო-კარანტინიზება

USB მოწყობილობებზე ნაპოვნი საფრთხეების ავტომატური იზოლაცია:

bash

sd scan-usb --auto-quarantine

Scanning /media/user/USB_DRIVE...
  [MALICIOUS] /media/user/USB_DRIVE/autorun.exe → Quarantined (QR-20260321-012)
  [MALICIOUS] /media/user/USB_DRIVE/.hidden/payload.bin → Quarantined (QR-20260321-013)

Threats quarantined: 2
Safe to use: Review remaining files before opening.

მნიშვნელოვანი

USB სკანირებასთან --auto-quarantine-ის გამოყენებისას მავნე ფაილები ჰოსტ მანქანის ლოკალური კარანტინის ვოლტში გადადის, USB მოწყობილობიდან კი არ იშლება. USB-ზე ორიგინალური ფაილები --remediate-ის გამოყენების გარეშე რჩება.

კონკრეტული მოწყობილობების სკანირება

რამდენიმე USB მოწყობილობის დაკავშირებისას კონკრეტულის სკანირება:

bash

sd scan-usb --device /dev/sdb1

სკანირების გარეშე გამოვლენილი USB მოწყობილობების ჩამოთვლა:

bash

sd scan-usb --list

Detected USB storage devices:
  1. /dev/sdb1  Kingston DataTraveler  16 GB  vfat  Mounted: /media/user/USB_DRIVE
  2. /dev/sdc1  SanDisk Ultra          64 GB  exfat Not mounted

JSON გამოტანა

bash

sd scan-usb --json

json

{
  "scan_type": "usb",
  "timestamp": "2026-03-21T17:00:00Z",
  "devices": [
    {
      "device": "/dev/sdb1",
      "label": "USB_DRIVE",
      "filesystem": "vfat",
      "size_gb": 16,
      "mount_point": "/media/user/USB_DRIVE",
      "files_scanned": 847,
      "threats": [
        {
          "path": "/media/user/USB_DRIVE/autorun.exe",
          "verdict": "malicious",
          "layer": "yara",
          "rule": "win_worm_usb_spreader"
        }
      ]
    }
  ]
}

USB-ის გავრცელებული საფრთხეები

USB მოწყობილობები ხშირად შემდეგი ტიპის მავნე პროგრამების მისაწოდებლად გამოიყენება:

საფრთხის ტიპი	აღწერა	გამოვლენის შრე
Autorun ჭიები	`autorun.inf`-ის Windows-ზე შესასრულებლად ექსპლოიტი	YARA წესები
USB dropper-ები	შენიღბული შესრულებადი ფაილები (მაგ., `document.pdf.exe`)	ევრისტიკა + YARA
BadUSB payload-ები	HID ემულაციის შეტევებზე სამიზნე სკრიპტები	ფაილ-ანალიზი
გამოსასყიდი პროგრამების გადამტანები	კოპირებისას გამოსააქტიურებელი დაშიფრული payload-ები	ჰეში + YARA
მონაცემების ექსფილტრაციის ინსტრუმენტები	მონაცემების შეგროვება-ამოღებისთვის შემუშავებული პროგრამები	ევრისტიკული ანალიზი

რეალურ დროში მონიტორინგთან ინტეგრაცია

USB სკანირება sd monitor დემონთან კომბინირება USB მოწყობილობების დაკავშირებისას ავტომატური სკანირებისთვის:

bash

sd monitor --watch-usb /home /tmp

ეს რეალურ დროში ფაილ-მონიტორს იწყებს და USB ავტო-სკანის შესაძლებლობას ამატებს. udev-ის გზით ახალი USB მოწყობილობის გამოვლენისას ის ავტომატურად სკანირდება.

Kiosk რეჟიმი

საჯარო ტერმინალებისა ან გაზიარებული სამუშაო სადგურებისთვის --watch-usb და --auto-quarantine-ის კომბინაცია მომხმარებლის ჩარევის გარეშე USB მოწყობილობებიდან საფრთხეების ავტომატური გაუვნებელყოფას იძლევა.

შემდეგი ნაბიჯები

ფაილებისა და დირექტორიების სკანირება -- sd scan-ის სრული ცნობარი
მეხსიერების სკანირება -- პროცესის მეხსიერების სკანირება
Rootkit-ის გამოვლენა -- სისტემ-დონის საფრთხეების შემოწმება
გამოვლენის ძრავა -- მრავალ შრეიანი კონვეიერის მუშაობა

USB მოწყობილობის სკანირება ​

როგორ მუშაობს ​

საბაზისო გამოყენება ​

ბრძანების პარამეტრები ​

ავტო-კარანტინიზება ​

კონკრეტული მოწყობილობების სკანირება ​

JSON გამოტანა ​

USB-ის გავრცელებული საფრთხეები ​

რეალურ დროში მონიტორინგთან ინტეგრაცია ​

შემდეგი ნაბიჯები ​

USB მოწყობილობის სკანირება

როგორ მუშაობს

საბაზისო გამოყენება

ბრძანების პარამეტრები

ავტო-კარანტინიზება

კონკრეტული მოწყობილობების სკანირება

JSON გამოტანა

USB-ის გავრცელებული საფრთხეები

რეალურ დროში მონიტორინგთან ინტეგრაცია

შემდეგი ნაბიჯები