USBPCAP工具介绍

原创 2016年06月01日 10:53:45

转:http://www.freebuf.com/articles/system/96216.html

在开始前,我们先介绍一些USB的基础知识。USB有不同的规格,以下是使用USB的三种方式:

l USB UART
l USB HID
l USB Memory

UART或者Universal Asynchronous Receiver/Transmitter。这种方式下,设备只是简单的将USB用于接受和发射数据,除此之外就再没有其他通讯功能了。

HID是人性化的接口。这一类通讯适用于交互式,有这种功能的设备有:键盘,鼠标,游戏手柄和数字显示设备。

最后是USB Memory,或者说是数据存储。External HDD, thumb drive / flash drive,等都是这一类的。

其中使用的最广的不是USB HID 就是USB Memory了。

每一个USB设备(尤其是HID或者Memory)都有一个供应商IDVendor Id)和产品识别码(Product Id)。Vendor Id是用来标记哪个厂商生产了这个USB设备。Product Id用来标记不同的产品,他并不是一个特殊的数字,当然最好不同。如下图:

图片1.png

上图是连接在我电脑上的USB设备列表,通过lsusb查看命令。

例如说,我有一个无线鼠标Logitech。它是属于HID设备。这个设备正常的运行,并且通过lsusb这个命令查看所有usb设备,现在大家能找出哪一条是这个鼠标吗??没有错,就是第四个,就是下面这条:

Bus 003 Device 010: ID 046d:c52f LogitechIncUnifying Receiver

其中,ID 046d:c52f就是Vendor-Product Id对,Vendor Id的值是046d,并且Product Id的值是c52fBus 003 Device 010代表usb设备正常连接,这点需要记下来

转:http://www.51testing.com/html/85/132585-849172.html

经过上网上及wireshark 的帮助文档发现一个新的工具USBPCAP.EXE,可以获取USB设备的数据
  具体的经过如下
1、下载工具usbpcap.exe
   地址:http://desowin.org/usbpcap/thankyou.html?file=USBPcapSetup-1.0.0.5.exe
 
2、如何使用请参考
  地址:http://desowin.org/usbpcap/tour.html
  

USB Packet capture for Windows Tour

This short tour assumes you have installed the latest version of USBPcap and the patched version of Wireshark and rebooted your system. Each of the steps contains short description of what should happen and in some cases gives tips for troubleshooting.

If you feel the information provided there is not complete (it doesn't cover your case), please describe your problem on the USBPcap mailing list.

Step 1 - identify the Root Hub you want to monitor

The first step is to connect the device you want to sniff the traffic and identify the Root Hub this device is connected to. In order to do so, launch the USBPcapCMD.exe that is stored in the installation directory. You should be presented with something similiar to the picture below.

Troubleshooting step 1

If for any reason you can't see the list of connected devices make sure you have the USBPcap driver installed and you have restarted your computer after the installation. Please note that if running on 64-bit Windws it is required to run in Test Mode.

Step 2 - start the capture

So now you know which of the Root Hubs available in your system you want to monitor. Please disconnect the device from your computer - this will allow USBPcap to capture the USB descriptors needed for analysis in Wireshark. Now you can run the USBPcapCMD.exe again and enter your desired output file name. (A careful reader will notice that they can skip the restart part: all that required to get the descriptors in the capture file is to reconnect your device after capture has started.).

We will be capturing the Root Hub that showed the two Hubs connected to it and an composite USB device (it is actually DigiTech RP250).

Now it is time to use the device in order to get packets captured. In this example I have simply started the X-Edit software that controls the DigiTech RP250.

Step 3 - analyse the data

After you're done collecting data, press Ctrl+C and start Wireshark. Once started, open the pcap file you have created in Step 2. You should see the packets allongside with their description. The sample capture is available at the Google code:sample_2013_04_10.pcap

Step 4 - live capture

If you didn't like that in steps 2 and 3 you had to finish capturing before having a chance to look at the data, you can also do a live capture. In order to do so, you must have running the cmd.exe with elevated privileges (as Administrator). Then enter the following command:

USBPcapCMD.exe -d \\.\USBPcap2 -o - | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -
This should result in live capture from standard input in Wireshark as shown below.

Step 5 - Contribute to the project :-)

Once you know how to use USBPcap you might want it to work better. There are numerous ways to help, for example:

  • Improving project website
  • Improving the documentation
  • Improving the filter driver
  • Improving the sample application
  • Improving installation process
  • Creating project artwork (icon, website banner, etc.)
  • Integrating the project more closely with Wireshark (dumpcap)
  • Donating money
If you can help please check the menu on the right for links for github page, donation fund and contact information.



USB Packet capture for Windows Tour usb抓包

http://desowin.org/usbpcap/tour.html This short tour assumes you have installed the latest vers...
  • earbao
  • earbao
  • 2016年07月02日 11:32
  • 1600

图解Wireshark安装

百度Wireshark后,下载,进行安装。 开始安装, 许可, 安装选项, 附加任务, 安装位置, 必须安装WinPcap,才能捕获数据包, USBPcap, 开始...
  • bcbobo21cn
  • bcbobo21cn
  • 2016年05月19日 11:51
  • 4502

抓取MBIM PCAP LOG的方法

现在市面上已经有好些带modem模块的Windows系统笔记本,如联想笔记本小新Air LTE版 和 小米笔记本Air 4G版。为了实现移动宽带设备(即上面提到的modem模块) 和 PC端的通信,I...
  • hitbeauty
  • hitbeauty
  • 2017年05月24日 17:38
  • 564

WinPcap4.02完整包(驱动、dll、库、头文件)

  • 2009年03月29日 12:38
  • 1.22MB
  • 下载

libpcap抓包原理

libpcap数据包捕获函数库,是Unix/Linux平台下的网络数据包捕获函数库。它是一个独立于系统的用户层包捕获的API接口,为底层网络监测提供了一个可移植的框架。 Librar...
  • dj0379
  • dj0379
  • 2012年06月18日 02:10
  • 3480

图解Wireshark安装

百度Wireshark后,下载,进行安装。 开始安装, 许可, 安装选项, 附加任务, 安装位置, 必须安装WinPcap,才能捕获数据包, USBPcap, 开始...
  • bcbobo21cn
  • bcbobo21cn
  • 2016年05月19日 11:51
  • 4502

抓取无线数据的方法

目的查看某手机与某无线路由的802.11通讯数据。环境 一块支持wifi抓包的无线网卡,并且需要正确的驱动程序。 使用Ubuntu操作系统。 手机 无线路由 步骤启动网卡的monitor模式使用iw ...
  • xundh
  • xundh
  • 2015年12月18日 16:02
  • 4312

USB Packet capture for Windows Tour

转自:http://desowin.org/usbpcap/tour.html  可以用wireshark来看Usb协议的包了,很不错 比较简单,不翻译了 This short tour ...
  • dabang_007
  • dabang_007
  • 2016年02月17日 21:43
  • 487

Wireshark基本介绍

wireshark介绍wireshark不能做的wireshark VS Fiddler同类的其他工具什么人会用到wiresharkwireshark 开始抓包wireshark 窗口介绍wiresh...
  • qq_17457175
  • qq_17457175
  • 2016年10月28日 14:38
  • 835

wireshark 高级实用技巧

1 当局域网抓包时候回产生大量NBNS的包 和其他的一些广播包等影响我们分析,通常可以通过设置网卡不为混杂模式,可是还是会有NBNS的包。而显示过滤的时候是好用的,但是应用到抓包过滤就不好用了,通常我...
  • ccc7560673
  • ccc7560673
  • 2015年06月17日 16:41
  • 1854
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:USBPCAP工具介绍
举报原因:
原因补充:

(最多只允许输入30个字)