USB(键盘)流量分析

已于 2023-07-18 21:06:39 修改
阅读量2.7k 收藏 18
点赞数 1
分类专栏: 总结 WEB MISC 文章标签: 计算机外设
于 2023-07-17 19:41:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64702918/article/details/131759542
版权
本文介绍了如何分析USB流量,特别是键盘和鼠标的数据。在HIDData域中,键盘流量数据长度为8个字节,鼠标流量为4个字节。文章详细讲解了鼠标流量中各字节的含义,并提供了键盘流量的解析方法,包括正常按键和Shift键组合的映射。此外,还分享了一个脚本示例,用于从流量数据中提取有用信息。
摘要由CSDN通过智能技术生成

标题


hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题

找到有用的usb流量

网上大部分讲USB协议数据在Leftover Capture Data域中,就这道题,以及目前已知少量博客显示,HID Data域中也具有价值(USB URB里找有没有数据就行)。鼠标流量数据长度为四个字节,键盘流量数据长度为八个字节,就这个题而言,若鼠标流量数据长度不满足,格式也不太对

鼠标流量

第一个字节:代表按键(00时,代表没有按键;01时,代表按左键;02时,代表当前按键为右键)
第二个字节:值为正时,代表鼠标右移像素位;
值为负时,代表鼠标左移像素位
第三个字节:代表垂直上下移动的偏移(当值为正时,代表鼠标上移像素位;值为负时,代表鼠标下移像素位)
上述引用和进一步了解后续鼠标流量具体流程可参考这篇文章:https://blog.csdn.net/qq_46150940/article/details/115431953

在这里插入图片描述

键盘流量(自己做题收获,可能仅适用本题)

本题就在HID Data域

第一个字节:代表按键(00时,代表没有按键;不论02或者20做题时统一当shift键)
第三个字节:代表键盘敲击时具体字母(hid键盘报告格式

在这里插入图片描述

脚本或者自己对照

找出相应信息后,脚本直接还原信息比较快速方便,但是如果刚刚接触,一下子拿一个现成的脚本去改,不理解,修改难度比较大,就可以先找一个差不多脚本运行一下(得出结果不全,但是可以给手动对照一点参考,自己理解对照的对不对),然后自己手动对照hid键盘报告格式,了解原理,改着也方便
取一小段:

02:00:00:00:00:00:00:00   // 第三个字节没有数据不看
02:00:04:00:00:00:00:00   // 第一个字节为02,键盘操作shift键和第三个字节代表的键
//由上边可得第三个字节没有数据的可以直接忽略,即第一个字节为02或者20,shift键只作用于本行
20:00:26:00:00:00:00:00   // 第一个字节为20,shift键和第三个字节代表的键

20:00:00:00:00:00:00:00
00:00:00:00:00:00:00:00
00:00:10:00:00:00:00:00   // 直接第三个字节代表的键
00:00:00:00:00:00:00:00

USB(键盘)流量分析具体流程

流量包直接导入即可,寻找有用信息的IP,过滤导出

usb.src =="2.3.1"

在这里插入图片描述
拖kali里面(python运行方便,也不咋出错),拖不进去的配一下tools。python脚本在那块,就在哪块,右键打开终端!!!不容易出错
在这里插入图片描述
使用tshark 命令把pcap的数据提取并去除空行到usbdata.txt

# sed '/^\s*$/d' 剔除空行,减少不必要麻烦特别鼠标流量
tshark -r usb.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt

对!没错,我改包名了,不太会tshark命令,就和找到教程里面的包名保持一致,还是要了解一下的。可以看这个!

注意大小写
-r: 读取本地文件,可以先抓包存下来之后再进行分析;
-T 设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text。
-t 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。
-E: 当-T字段指定时,设置输出选项,header=y意思是头部要打印;
-e: 当-T字段指定时,设置输出哪些字段

# 字节和字节间加冒号的脚本
f=open('usbdata.txt','r')
fi=open('out.txt','w')
while 1:
    a=f.readline().strip()
    if a:
        if len(a)==16: # 鼠标流量的话len改为8
            out=''
            for i in range(0,len(a),2):
                if i+2 != len(a):
                    out+=a[i]+a[i+1]+":"
                else:
                    out+=a[i]+a[i+1]
            fi.write(out)
            fi.write('\n')
    else:
        break

fi.close()

还原信息(有冒号时提取数据的[6:8],无冒号时数据在[4:6])

# x
normalKeys = {
   
    "04":"a", "05":"b", "06":"c", "07":"d", "08":"e",
最低0.47元/天 解锁文章
BvxiE
关注
专栏目录
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6765
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
USB流量分析
qq_38680693的博客
11-20 5396
1. USB接口简介通过监听USB接口流量,可获取键盘击键,鼠标移动与点击,存储设备的明文传输通信,USB无线网卡网络传输内容等。2. 题目wireshark打开数据包后发现为usb协议 USB协议数据部分在Leftover Capture Data域中,使用tshark命令将其单独提取出来tshark -r udn.pcapng -T fields -e usb.capdata > us
USB数据包分析
09-04
本篇分析数据包,仍然使用“HD-USB12”USB协议分析仪采集分析数据。分两部分内容:首先简单复习一下USB协议中的相关知识,然后用“HD-USB12”USB协议分析仪采集几个实例进行分析。 USB包由五部分组成,即同步字段(SYNC)、包标识符字段(PID)、数据字段、循环冗余校验字段(CRC)和包结尾字段(EOP。
CTF(misc) USB流量截取(键盘
最新发布
m0_59197314的博客
07-26 537
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的 传输内容等一系列信息。
misc——流量分析usb(2)
2301_81864699的博客
06-19 907
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
从bugku几道流量题学习tshark-【USB流量截取】【花点流量听听歌】
Mengof的csdn博客
02-03 2162
tshark usb流量 wireshark usb.capdata usbhid.data
usb流量包分析
m0_74736832的博客
03-09 574
USB流量主要分为两种,一种是鼠标流量,另一种是键盘流量。
流量分析USB键盘与鼠标流量分析
自知.的博客
05-06 8997
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘和鼠标流量为主。 下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量。
ctf php 流量分析题,2020天津市ctf大赛之usb数据包流量分析
weixin_35949064的博客
03-09 648
1.鼠标流量分析1.常用命令tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt如果提取出来的数据有空行,可以将命令改为如下形式:tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt如果提取出来的数据没有冒号,可以用脚本来加上冒...
USB流量取证分析
Lemon's blog
09-22 5663
0x00:什么是USBUSB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。 0x01:USB使用的三种方式 USB UART UART,这种方式下,设备只是简单的将 USB 用于接受和发射数据,除此之外就再没有,其他通讯功能了。 USB HID HID 是人性化的接口。这
XCTF-Misc1 USB键盘流量分析
orchid_sea的博客
01-03 1250
附件是一个USB流量文件。
键盘流量分析
xiaokerwnrwn的博客
03-18 1431
USB协议数据部分在Leftover Capture Data(数据传输过程中未及时处理而被延迟捕获的数据,比如鼠标移动产生的离散数据包)或者在HID data(USB传输的,与人体输入设备相关的数据,比如鼠标,键盘)中,数据长度为8个字节,而键盘敲击信息集中在第三个字节中。3.使用命令:使用tshark工具对(-r atta.pcapng)atta.pcapng文件进行分析,以(-T json)json格式输出捕获到的数据包信息,命名为test.json。键盘流量分析USB流量分析的一种。
USB HID 流量分析详解
p0ise's blog
04-14 3003
USB HID(Human Interface Device),中文译为人机接口设备,是一种允许人与计算机交互的接口的设备,主要用于连接各种人机界面设备,如键盘、鼠标、游戏手柄、数字仪表、触摸屏等。USB HID 设备与计算机通信使用的是 USB HID 协议,这个协议规定了 USB HID 设备与主机之间的通信协议和数据格式。本文将对 USB HID 协议进行简单的介绍,演示如何用 Wireshark 捕获、过滤 USB 流量,重点对鼠标、键盘流量进行分析,利用 Python 脚本解析流量,从中还原出
hid键盘报告格式
a65135793的博客
05-11 5051
BYTE1 -- 特殊按键        |--bit0:   Left Control是否按下,按下为1          |--bit1:   Left Shift  是否按下,按下为1          |--bit2:   Left Alt    是否按下,按下为1          |--bit3:   Left GUI(Windows键) 是否按下,按下为1          |--b...
USB通信数据流分析
weixin_34405354的博客
04-07 208
数据在主机端经过客户软件层、USB系统软件层和主机控制器3个逻辑层,在设备端经过USB总线接口层、USB设备层和功能层。在编程时,客户软件通过USB系统软件提供的编程接口操作对应的设备,而不是直接操作内存或I/O端口来实现。 以信号从主机流向设备为例:客户软件经USBD(USB Driver)传输给系统软件的数据是不具有USB通信格式的数据。系统软件对这些数据分帧,实现...
ctf 流量包usb协议
05-21
USB协议是一种用于在计算机和外部设备之间传输数据的标准。在CTF竞赛中,通常会出现需要分析USB流量包的情况。 USB流量包通常包含了从计算机USB设备或从USB设备到计算机的数据传输信息。其中,数据传输可以分为控制传输、批量传输、中断传输和等时传输四种方式。 控制传输通常用于配置和控制USB设备,例如设置设备的地址和端点、发送控制命令、获取设备描述符等。批量传输用于传输大量数据,例如打印机输出、音频数据等。中断传输用于传输小量的时间敏感数据,例如鼠标和键盘输入。等时传输用于实时传输数据,例如视频和音频流。 在分析USB流量包时,需要了解USB协议的基础知识,并使用相关软件对流量包进行解析和分析,以便识别数据传输类型、提取数据内容等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值