Dipende dalla macchina target. Alcuni sistemi sono configurati per "svegliarsi" quando viene premuto un tasto speciale "power up" sulla tastiera; un dispositivo USB potrebbe porsi come una tastiera e emulare tale pressione di un tasto. Inoltre, alcune macchine sono apparentemente spente, ma sono solo in letargo , il che significa che sono ancora attivi o pronti per essere pubblicati rapidamente.
In ogni caso, come dice @tylerl, nessun dato verrà letto dal disco rigido fino a quando il disco non gira. Quindi un dispositivo di questo tipo deve essere in grado di far rivivere la macchina.
Una volta che la macchina è convinta di avviarsi, l'interesse dell'attaccante è di avviarlo su un sistema operativo controllato dall'utente malintenzionato. Il dispositivo USB può anche rappresentare una semplice unità Flash e sperare che la macchina sia configurata per l'avvio su qualsiasi unità Flash USB che verrà collegata alla macchina in quel momento. La maggior parte delle macchine sono non configurate in quel modo, comunque. Un modo più snello sarebbe quello di rendere il dispositivo USB "simile" a un lettore DVD : ci sono macchine che non si avviano da nessuna unità Flash, ma considereranno i lettori CD / DVD in particolare e tenteranno di avviarsi da quello.
Ci sono altre opzioni, però. Ad esempio, l'autore dell'attacco potrebbe lasciare che la macchina si avvii sul suo normale sistema operativo, quindi vi si può attaccare sostenendo che il dispositivo USB sia una sorta di convertitore USB-to-FireWire: il computer di destinazione potrebbe avere un driver pronto per questo, o addirittura essere così buono da scaricarne uno automaticamente in quel caso, e quel driver abiliterà DMA dal dispositivo. Vedi questa risposta per i dettagli. Ciò consente all'autore dell'attacco di dirottare la macchina e il relativo sistema operativo, a quel punto la lettura del disco rigido sarà facile.
Altre opzioni esoteriche implicano lo sfruttamento dei buchi di sicurezza nel driver del controller USB (una parte del sistema operativo). È stato eseguito per alcune console PlayStation 3.
Un metodo più semplice, tuttavia, potrebbe essere quello di aprire il case del computer e afferrare del tutto il disco. Un utente malintenzionato che può collegare dispositivi arbitrari nella porta USB è un utente malintenzionato con accesso fisico e potrebbe avere un cacciavite con lui. In alcune situazioni specifiche (ad esempio una di queste "stazioni di stampa" in cui è possibile stampare le proprie foto), un attacco solo USB potrebbe essere più pratico e discreto per l'aggressore, ma nella maggior parte degli altri contesti l'accesso fisico equivale alla totale perdita di riservatezza , quindi questa lettura tramite USB potrebbe non essere così devastante come sembra inizialmente.