所以你给自己找了一个热门代理并想检查它？这将会非常好玩！

首先，不要简单地将其插入并环顾四周。即使您要创建一个“沙盒”查找器，也无法保护您免受潜在恶意软件的侵害。那么你是怎么看货的呢？那么你需要进行法医检查！这是您需要的：

• 虚拟机至关重要，因此您不会感染您的机器。确保将其配置为使 VM 无法访问网络。
• 法医成像仪。我使用螺旋或尸检套件。如果您有 Windows 虚拟机，FTK 成像器工作得很好。
• 一个写拦截被检查，以保护USB设备的完整性。这意味着阻止对目标 USB 的所有写入。这可以保留目标的原始记录，但也可以防止某些类型的恶意软件在目标 USB 上改变自己。我个人说要使用硬件写入阻止程序，因为它们更可靠（只需去亚马逊并找到一个）。

最好使用 linux 发行版（如 helix）配置您的 VM。现在，您只需将写入阻止程序附加到您的电脑并进行设置。打开您的成像程序，最后插入您的热 USB 记忆棒。

您现在获取此驱动器的取证图像 - 直接进入 RAM（如果有容量）或另一个（非操作系统）驱动器。这可能需要一段时间，具体取决于目标的大小。获得图像后，您可以使用相同的成像程序以多种方式查看它（FTK 使其超级简单）。

整个概念被称为事件响应，SANS 有很多关于做什么的好文档。这是一个。另外，我用这本书学习了很多关于取证的知识。我知道一个人正在服用他的 CISSP，他也刚刚完成它，所以它仍然是相关的。

祝好运并玩得开心点！

针对您的评论，一旦您连接受感染的设备，恶意软件确实可以在您不知情的情况下传播。防止这种情况的最佳方法是在具有与目标不同操作系统的 VM 中运行检查。不同的操作系统有助于阻止恶意软件运行，并且如果恶意软件爆发并运行，VM 将充当损害控制。

恶意软件可以像这样传播的最常见和最简单的方式是“自动播放”功能，但如果您真正考虑该功能背后发生的事情，您会发现外部媒体中的某些内容被加载到 RAM并写入您的电脑硬盘驱动器（以元数据/日志/等的形式）。攻击者所要做的就是利用该威胁向量。*然而，这可不是一件小事 :)

但这并不全是悲观和厄运。你所要做的就是扔掉一个正确配置的虚拟机，你基本上已经阻止了 99.99% 的特定威胁。

由于您正在处理危险材料，我将首先在专用系统上运行此过程以进行此类调查：

• 从任何网络连接中拔出（隔离网络配置中的 MacOS X：相当于 iPhone 上的飞行模式），

• 一个您可以完全擦除的系统，以防您无法完全擦除恶意软件证据。

在 MacOS X 上，沙盒和分析可疑外部 USB 的任务基本上是一个 2 步过程。

以只读方式安装此 USB 密钥

请阅读此答案：如何在 OS X 中对 USB 驱动器进行写保护（设为只读）？在 Ask Different 上，根据我的经验，这是最好的答案。

这样做可以防止证据被任何MacOS X的守护进程（被损坏mdworker，Spotlight...）一个人为错误或任何取证工具。这不会保护仍在读写文件系统上的 MacOS X。

运行clamscan和chkrootkit

如果你的USB存储正在安装下/Volumes/suspicious_SD，和你MacPorts，clamav和chkrootkit安装，运行：

/usr/bin/sudo /opt/local/bin/clamscan -r /Volumes/suspicious_SD
/usr/bin/sudo /opt/local/bin/chkrootkit -r /Volumes/suspicious_SD

这些只是检测已知恶意软件的两个基本工具。这并不构成真正的取证分析，应该从那里开始，基于以下工具：find, tcpdump, opensnoop...