目录
1 原理说明
与之前USB网卡空口抓包思路是一样的,借助Linux虚拟机的驱动开启网卡监听模式,再使用rpcapd开启,最后在Windows下使用Wireshark远程抓包连接监听接口。
难点在于让电脑内置网卡连接到Linux虚拟机。目前最简单的方法就是使用微软自带的虚拟机Hyper进行PCI直通,需Win10或以上系统,不能保证成功,而且操作使用上相比USB网卡抓包方案会更繁琐一些。
1.1 支持网卡
CommView For WiFi(能实现Windows内置网卡抓包的一个软件)提供了一些支持抓包的网卡资料,根据这个资料我们能得知有哪些网卡支持监听功能。
参考来源:Download CommView for WiFi
| Adapter | Standard | 802.11 Bands | Form Factor | Supported OS |
|---|---|---|---|---|
| Intel AX200, AX201 | WiFi6 (ax) | 2.4 GHz/5 GHz | Integrated | Windows 10 or higher |
| Intel AX210, AX211 | WiFi6E (ax) | 2.4 GHz/5 GHz/6 GHz | Integrated | Windows 10 or higher |
| Intel AX411 | WiFi6E (ax) | 2.4 GHz/5 GHz/6 GHz | Integrated | Windows 10 or higher |
| Killer Wi-Fi 6 AX1650w, AX1650x, AX1650s | WiFi6 (ax) | 2.4 GHz/5 GHz | Integrated | Windows 10 or higher |
| Intel AC 3160, 3165, 3168 | WiFi5 (ac) | 2.4 GHz/5 GHz | Integrated | Windows 7 or higher |
| Intel AC 7260, 7265 | WiFi5 (ac) | 2.4 GHz/5 GHz | Integrated | Windows 7 or higher |
| Intel AC 8260, 8265 | WiFi5 (ac) | 2.4 GHz/5 GHz | Integrated | Windows 7 or higher |
| Intel AC 9260, 9560 | WiFi5 (ac) | 2.4 GHz/5 GHz | Integrated | Windows 10 or higher |
1.2 测试笔记本
目前测试两台笔记本,只成功了一台。
| 品牌型号 | 操作系统 | CPU | 主板 | 网卡 | 测试结果 |
|---|---|---|---|---|---|
| 未知 | Win10 | i7-1165G7 | 未知 | AC 3165 | 失败 |
| HP EliteBook 630 13 inch G9 Notebook PC | Win11 | i5-1235U | 惠普897A | AX211 | 成功 |
本文涉及所有软件和虚拟机可私聊我提供。由于本方案尚不成熟,需对各种类型笔记本的测试结果进行统计收录。需要软件的网友可以根据下面操作提供电脑信息给我,我会提供相关软件,最后需获知不同笔记本的测试情况。
Win+R输入cmd,命令窗口中输入msinfo32
将操作系统,CPU,主板信息提供给我。
展开“组件”-“网络”-“适配器”,将网卡信息也提供给我。
将信息发送给我后,我将提供本文涉及的所有软件。
2 环境部署
2.1 直通准备
转换Windows版本。将Windows转换为ServerRdsh版本(虚拟桌面版本),工具很多,这里用的是HEU KMS Activator v40.0.0,转换后还可以用这个工具重新激活Windows。
修改注册表。在HKLM\SOFTWARE\Policies\Microsoft\Windows\HyperV项(如无则新建,注意是项的名字是HyperV中间没有横杠)下新建两个DWORD值,两个值的名称分别是RequireSecureDeviceAssignment和RequireSupportedDeviceAssignment,值都为0。
启用HyperV功能。Win+Q搜“启用或关闭程序功能”,启用HyperV(如已启用跳过)相关项。
重启电脑。重启后PowerShell 执行下列命令查看版本是否切换成功。
DISM /online /Get-CurrentEdition
2.2 导入虚拟机
Win+Q搜“Hyper”打开Hyper-V管理器,点虚拟交换机管理器。
新建内部虚拟交换机,名称为Static Switch。
Win+Q搜“网络连接”(查看网络连接),设置刚创建虚拟网卡vEthernet (Static Switch) 的静态IP为192.168.20.1。
(此步非必要可跳过)管理员身份启动PowerShell ,执行下列命令,为192.168.20.0网段的主机启用NAT服务,使虚拟机可以连接网络。
New-NetNat -Name Static-NAT -InternalIPInterfaceAddressPrefix 192.168.20.0/24导入虚拟机,选择好虚拟机文件夹后,一直下一步,默认不用改,等待虚拟机导入完成。
点连接,启动虚拟机,用户名密码都是root。确保可以登录虚拟机后先关闭虚拟机。
3 抓包操作
3.1 网卡直通
打开DiscreteDeviceAssigner,右键虚拟机下方...的位置,添加设备。
搜索你的网卡型号,如我的是AX211,选择并添加。
重新启动虚拟机,这步是决定成败的一步。如果没报错可以正常启动,那大概率已经成功了,如果有报错请翻到文章最后。
虚拟机内输入lspci可以看到网卡,那就说明直通成功了。输入iwconfig有wlan0出现,说明网卡在linux中免驱(如果不免驱需要到Github上找驱动安装)。如我的网卡(AX211),在Linux(内核为6.9.7)中免驱,不需要再去安装驱动。
3.2 抓包设置
输入rpcapd -n -d开启远程接口,再输入airmon-ng start wlan0开启网卡监听模式,最后iwconfig查看出现wlan0mon接口即监听模式开启成功。
Windows打开Wireshark,点击捕获-选项-Manage Interfaces(管理接口)-远程接口,点加号,添加主机192.168.20.100,端口号2002,确定。
双击wlan0mon的接口即可开始抓包。
修改抓包信道。在虚拟机中输入airmon-ng start wlan0mon 10,这个命令是捕获10信道报文,最后的数字10表示10信道,要抓其他信道同理。
#命令汇总
lspci #查看pci设备
iwconfig #查看无线接口
rpcapd -n -d #开启远程接口
airmon-ng start wlan0 #开启监听模式
airmon-ng start wlan0mon 10 #设置监听信道3.3 恢复网卡
关闭虚拟机,DiscreteDeviceAssigner中右键网卡,点击移除设备。
此时网卡已从虚拟机中释放会真机,但默认变为禁用状态。打开网络连接,双击启用即可。
4 直通报错
网卡直通后虚拟机无法启动,可能遇到的报错。
-
报错1:虚拟机监控程序功能对于该用户来说不可用。
解决方案:遇到过一次,电脑断电重启后解决了。推测原因可能是Windows切换Server版本后有些配置需要断电重启(非软重启)才能生效。
-
报错2:虚拟机监控程序无法执行此操作,因为对象或值已在使用中,或已被用于无法允许完成此操作的目的。
解决方案:没找到解决办法,尝试在BIOS中启用有关虚拟功能和PCI功能的所有项均未解决,怀疑是杂牌主板不支持PCI直通。
扫一扫
3857
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
