USB流量取证分析

最新推荐文章于 2024-06-03 10:47:21 发布
最新推荐文章于 2024-06-03 10:47:21 发布
阅读量5.3k 收藏 31
点赞数 7
分类专栏: 流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/108717829
版权

0x00:什么是USB?

USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。

USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。

0x01:USB使用的三种方式

USB协议版本有USB1.0, USB1.1, USB2.0, USB3.1等,目前USB2.0比较常用。

1. USB UART

UART,这种方式下,设备只是简单的将 USB 用于接受和发射数据,除此之外就再没有,其他通讯功能了。

2. USB HID

HID 是人性化的接口。这一类通讯适用于交互式,有这种功能的设备有:键盘,鼠标,游戏手柄和数字显示设备。

3. USB Memory

USB Memory是数据存储

每一个 USB 设备(尤其是 HID 或者 Memory )都有一个供应商 ID(Vendor ID) 和产品识别码(Product Id) 。 Vendor ID 是用来标记哪个厂商生产了这个 USB 设备。 Product ID 则用来标记不同的产品.

0x02:lsusb命令

lsusb命令用于显示本机的USB设备列表,以及USB设备的详细信息。

在这里插入图片描述

  • Bus 002:指明设备连接到哪条总线
  • Device 002:表明这是连接到总线上的第二台设备
  • ID : 设备的ID
  • VMware, Inc. Virtual Mouse:生产商名字和设备名

详细命令

0x03 tshark命令

网络抓包,分析工具。wireshark 的 Linux命令行工具

常用命令

tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt

如果提取出来的数据有空行,可以将命令改为如下形式:

tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt

如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],无冒号时数据在[4:6])

f=open('usbdata.txt','r')
fi=open('out.txt','w')
while 1:
    a=f.readline().strip()
    if a:
        if len(a)==8: # 键盘流量的话len改为16
            out=''
            for i in range(0,len(a),2):
                if i+2 != len(a):
                    out+=a[i]+a[i+1]+":"
                else:
                    out+=a[i]+a[i+1]
            fi.write(
最低0.47元/天 解锁文章
lemonl1
关注
  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存取证USB流量分析总结
blue_fantasy的博客
01-09 1642
Text. 0x00 前言 本文对我曾接触到过的CTF中的内存取证类题目与USB流量分析类题目进行一个总结类梳理。其中kali里集成了取证神器volatility与流量分析神器tshark 0x01 Volatility 第一步提取内容镜像信息 常用命令volatility -f <xxx.vmem>(或xx.raw) imageinfo 使用imageinfo插件获取到基本信息,特别是内存数据是什么操作系统下生成的,这点尤为重要 (如图的WinXPSP2x86) 因为在接下来每
内存取证&USB流量分析 —— 【高校战“疫”】ez_mem&usb
Ve99tr’s Blog
03-09 1355
高校战“疫” MISC内存取证以及usb流量分析 —— ez_men&usb
CTF中简单杂项小结
Amire0x的小乐园
03-09 7447
MISC1 参考 CTF Wiki MISC 简介 主要分为几个板块:Recon,Forensic,Stego,Crypto(古典密码)… Recon:信息收集 主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧 Encode(编码转换) 主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式 Forensic && Stego(数字取证 && 隐写分析) 隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、
UsbKeyboardDataHacker:USB键盘流量取证工具 , 用于恢复用户的击键信息
05-11
用法 Usage : python UsbKeyboardHacker.py data.pcap Tips : To use this python script , you must install the tshark first. You can use `sudo apt-get install tshark` to install it Author : WangYihang If you have any questions , please contact me by email. Thank you for using. 例子 第一步:获取数据 sun@ubuntu:~/UsbKeyboardDataHacker$ tsha
安全攻防知识——CTF之MISC
最新发布
白帽黑客八哥的博客
06-03 578
其中,LSB隐写的原理就是图片中的像素一般是由三种颜色组成,即三原色(红绿蓝),由这三种原色可以组成其他 各种颜色。第一个字节表示按键指示的左键和右键,第二个字节表示水平位移,为正(小于127)是向右移动,为负(补码负数,大于127小于255)是向左移动。每个像素可以携带3比特的信息,10 进制的235表示的是绿色,所以我们在修改二进制中的最低位时,颜色依旧看不出有任何变化,从而达到隐藏信息的目的。所以如果看到给出的数据包中的信息都是8个字节,并且只有第3个字节不为00,那么几乎可以肯定这是一个键盘流量
USB痕迹取证(windows)
01-11
USB痕迹取证(windows),收集电脑USB插拔痕迹,内容信息全面!手工取证分析必备!
USB取证 学习笔记
人饭子的博客
10-30 417
USB取证 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关文章 USB - CTF Wiki USB流量取证分析 USB流量取证分析 深入理解USB流量数据包的抓取与分析 关于usb流量分析 相关工具 FzWjScJ/knm - 鼠标键盘流量取证 tsharktshark -r tmp.pcap -T...
knm:鼠标键盘流量取证
05-29
别问,问就是DizzyK菜,没得洗呜呜呜)安装方法pip install -r requestment.txtapt-get install tshark使用方法python knm.py <cmd> [arg] [opts] cmds: pca(p) <pcadile> () 转换pca的USB流量data(文件) keyboard...
omnipeek atheros usb device driver 64bit
07-15
- 查看和记录网络活动,以便后期分析取证。 总的来说,"omnipeek atheros usb device driver 64bit"是确保64位Windows用户充分利用OmniPeek软件分析Atheros USB网络设备的关键。正确安装和配置此驱动,可以提升...
SniffUSB 抓取3G网卡MessageContent
02-22
9. **取证与安全研究**:在网络安全领域,嗅探USB通信数据是进行恶意软件分析、网络入侵检测和电子取证的重要手段。 10. **应用开发与测试**:对于开发基于3G网络的应用,了解USB通信细节可以帮助优化性能,确保...
文件分析利器winhex 免安装版
03-06
2. **磁盘和内存镜像**:WinHex可以创建硬盘、SSD、USB驱动器等存储设备的完整镜像,这对于备份数据或进行取证分析至关重要。镜像文件可以保存在其他介质上,以便于后续分析。 3. **数据恢复**:当文件被误删或部分...
分享USB设备取证工具
04-27
USB设备取证工具,可以枚举USB设备在windows下,可以枚举USB设备使用时间。
UsbMiceDataHacker-master_furniturelkz_usb协议_UsbMiceDataHacker_US
09-29
鼠标分析,可视化操作轨迹,方便我们查看用户的操作
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
FOR508_Index:FOR508指数-GCFA
05-18
3. **网络取证**:理解网络流量分析、邮件取证、Web浏览器历史记录的恢复以及网络设备日志的解析。 4. **存储介质分析**:学习硬盘、SSD、USB驱动器等存储设备的结构和分析方法,包括磁盘镜像制作、隐藏分区检测和...
流量取证-提取文件
weixin_41082546的博客
03-24 1423
PCAP 报文就是抓取实际在网络中传输的图片,视频等数据,然后以PCAP 格式存储形成的文件。工作中对离线的数据包进行回溯分析,有时会遇到将 PCAP 中的码流还原成相应的图片、视频、邮件等原有格式的需求。 从流量取证文件大部分情况下是为了提取流量中的可执行程序。 1、 tcpxtract 安装: apt-get install tcpxtract http://www.rpmfind...
usb流量【0407更完
MuMuLee_的博客
04-05 499
没学完的原因! 一、USB协议 一个pcap包,使用wireshark打开,看到Protocol 为USB协议。 二、 1、安装库 pip install matplotlib numpy 2、提取USB协议数据 tshark -r 包名.pcapng -T fields -e 包名.capdata > 提取文件名.txt 3、cat命令查看分离出的usb数据 cat 提取文件名...
USB流量分析
Atkx's Blog
04-12 5764
鼠标流量 流量包bingbing.pcapng,USB流量 tshark提取USB流量 tshark -r bingbing.pcapng -T fields -e usb.capdata > usbdata.txt 剔除空行 tshark -r bingbing.pcapng -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 利用脚本加上冒号 f=open('usbdata.txt','r') fi=open('out.
CTF——杂项3.流量取证技术
woo233的博客
09-09 2798
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
wireshark流量取证方法
08-18
Wireshark是一款常用的网络流量分析工具。在进行流量取证时,可以采取以下方法: 1. 根据题目提供的数据包文件,我们可以使用Wireshark打开该文件进行流量分析。在Wireshark的界面中,我们可以看到各个数据包的详细信息,包括源IP地址、目标IP地址、协议类型、数据包大小等。 2. 首先,我们可以通过过滤器来筛选出我们感兴趣的流量。根据题目中给出的特征信息,如文件名的后缀是docx、文件名开头特征是pk等,我们可以使用Wireshark提供的过滤器功能来查找相关的数据包。 3. 对于给定的Wireshark流量数据包文件,我们可以使用Wireshark的搜索功能来查找特定的信息。例如,根据引用中提供的信息,我们可以搜索关键词"Here's the secret recipe... I just downloaded it from the file server."来找到相关的IM会话过程中的第一条信息内容。 总之,通过使用Wireshark的功能,包括过滤器、搜索功能等,可以对Wireshark流量进行取证分析。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件](https://download.csdn.net/download/FRANXX_02/86538890)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [wireshark流量取证方法](https://blog.csdn.net/luckc7/article/details/127880996)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值