USB流量取证分析

最新推荐文章于 2024-07-26 15:46:35 发布
最新推荐文章于 2024-07-26 15:46:35 发布
阅读量5.5k 收藏 31
点赞数 7
分类专栏: 流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/108717829
版权
本文介绍了USB流量取证分析,涉及USB的基础知识、USB设备的三种使用方式,以及如何使用lsusb和tshark命令进行USB流量监控。重点讨论了鼠标和键盘流量的特点,包括数据包结构和解析方法,提供了实战练习来恢复鼠标轨迹和键盘输入。
摘要由CSDN通过智能技术生成

0x00:什么是USB?

USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。

USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。

0x01:USB使用的三种方式

USB协议版本有USB1.0, USB1.1, USB2.0, USB3.1等,目前USB2.0比较常用。

1. USB UART

UART,这种方式下,设备只是简单的将 USB 用于接受和发射数据,除此之外就再没有,其他通讯功能了。

2. USB HID

HID 是人性化的接口。这一类通讯适用于交互式,有这种功能的设备有:键盘,鼠标,游戏手柄和数字显示设备。

3. USB Memory

USB Memory是数据存储

每一个 USB 设备(尤其是 HID 或者 Memory )都有一个供应商 ID(Vendor ID) 和产品识别码(Product Id) 。 Vendor ID 是用来标记哪个厂商生产了这个 USB 设备。 Product ID 则用来标记不同的产品.

0x02:lsusb命令

lsusb命令用于显示本机的USB设备列表,以及USB设备的详细信息。

在这里插入图片描述

  • Bus 002:指明设备连接到哪条总线
  • Device 002:表明这是连接到总线上的第二台设备
  • ID : 设备的ID
  • VMware, Inc. Virtual Mouse:生产商名字和设备名

详细命令

0x03 tshark命令

网络抓包,分析工具。wireshark 的 Linux命令行工具

常用命令

tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt

如果提取出来的数据有空行,可以将命令改为如下形式:

tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt

如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],无冒号时数据在[4:6])

f=open('usbdata.txt','r')
fi=open('out.txt','w')
while 1:
    a=f.readline().strip()
    if a:
        if len(a)==8: # 键盘流量的话len改为16
            out=''
            for i in range(0,len(a),2):
                if i+2 != len(a):
                    out+=a[i]+a[i+1]+":"
                else:
                    out+=a[i]+a[i+1<
最低0.47元/天 解锁文章
lemonl1
关注
专栏目录
内存取证&USB流量分析 —— 【高校战“疫”】ez_mem&usb
Ve99tr’s Blog
03-09 1453
高校战“疫” MISC内存取证以及usb流量分析 —— ez_men&usb
USB(键盘)流量分析
BvxiE的博客
07-17 2618
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
华硕主板不认usb鼠标键盘_【USB流量取证分析
weixin_33396922的博客
01-08 670
USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。在Linux中,可以使用lsusb命令,如图所示:我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经...
CTF(misc) USB流量截取(键盘)
最新发布
m0_59197314的博客
07-26 391
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
Wireshark使用鉴赏(都是干货)
qq_73870170的博客
11-02 825
该表达式检查每个HTTP请求或响应中的协议行是否包含字符串"HTTP/1.",如果包含,则将该HTTP流量显示在Wireshark捕获的分析窗口中。http.request.method == "GET" && http 过滤出HTTP请求方法为GET且包含特定字段的HTTP流量。在Wireshark中,"request.method"和"contains"是两种不同的过滤器表达式,它们有着各自的用途。,你可以使用"http.request.method == "GET"这个表达式。
CTF——杂项3.流量取证技术
woo233的博客
09-09 3069
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
USB流量分析
qq_38680693的博客
11-20 5358
1. USB接口简介通过监听USB接口流量,可获取键盘击键,鼠标移动与点击,存储设备的明文传输通信,USB无线网卡网络传输内容等。2. 题目wireshark打开数据包后发现为usb协议 USB协议数据部分在Leftover Capture Data域中,使用tshark命令将其单独提取出来tshark -r udn.pcapng -T fields -e usb.capdata > us
流量分析USB键盘与鼠标流量分析
自知.的博客
05-06 8216
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘和鼠标流量为主。 下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量
USB HID 流量分析详解
p0ise's blog
04-14 2753
USB HID(Human Interface Device),中文译为人机接口设备,是一种允许人与计算机交互的接口的设备,主要用于连接各种人机界面设备,如键盘、鼠标、游戏手柄、数字仪表、触摸屏等。USB HID 设备与计算机通信使用的是 USB HID 协议,这个协议规定了 USB HID 设备与主机之间的通信协议和数据格式。本文将对 USB HID 协议进行简单的介绍,演示如何用 Wireshark 捕获、过滤 USB 流量,重点对鼠标、键盘流量进行分析,利用 Python 脚本解析流量,从中还原出
UsbKeyboardDataHacker:USB键盘流量取证工具 , 用于恢复用户的击键信息
05-11
用法 Usage : python UsbKeyboardHacker.py data.pcap Tips : To use this python script , you must install the tshark first. You can use `sudo apt-get install tshark` to install it Author : WangYihang If you have any questions , please contact me by email. Thank you for using. 例子 第一步:获取数据 sun@ubuntu:~/UsbKeyboardDataHacker$ tsha
USB痕迹取证(windows)
01-11
USB痕迹取证(windows),收集电脑USB插拔痕迹,内容信息全面!手工取证分析必备!
分享USB设备取证工具
04-27
USB设备取证工具,可以枚举USB设备在windows下,可以枚举USB设备使用时间。
UsbMiceDataHacker-master_furniturelkz_usb协议_UsbMiceDataHacker_US
09-29
鼠标分析,可视化操作轨迹,方便我们查看用户的操作
内存取证USB流量分析总结
blue_fantasy的博客
01-09 1688
Text. 0x00 前言 本文对我曾接触到过的CTF中的内存取证类题目与USB流量分析类题目进行一个总结类梳理。其中kali里集成了取证神器volatility与流量分析神器tshark 0x01 Volatility 第一步提取内容镜像信息 常用命令volatility -f <xxx.vmem>(或xx.raw) imageinfo 使用imageinfo插件获取到基本信息,特别是内存数据是什么操作系统下生成的,这点尤为重要 (如图的WinXPSP2x86) 因为在接下来每
CTF 内存取证 USB流量分析
MOLLMY的专栏
09-09 6708
护网杯2019预选赛第二题 内存取证弟弟题???? 题目名叫: Baby_forensic 题目附件地址 目录 Baby_forensic 知识点: 内存取证工具volatility 的使用: 取证方法建议 Keyboard scan code: 解题过程: 1. Kali中解压文件 2. pslist查看进程 3. 通过cmdscan[孙2]提取命令历史记录,结果如下 ...
ctf php 流量分析题,2020天津市ctf大赛之usb数据包流量分析
weixin_35949064的博客
03-09 628
1.鼠标流量分析1.常用命令tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt如果提取出来的数据有空行,可以将命令改为如下形式:tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt如果提取出来的数据没有冒号,可以用脚本来加上冒...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值