USB流量分析

最新推荐文章于 2024-05-19 11:09:09 发布
最新推荐文章于 2024-05-19 11:09:09 发布
阅读量2.9k 收藏 5
点赞数 1
分类专栏: 杂项知识总结 文章标签: python gnuplot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/122565846
版权

USB流量分析

鼠标流量

鼠标的流量包有三个字节是有用的,从左到右依次代表着按键水平方向位移垂直方向位移

注意这里是代表着位移,而之后在gnuplot工具中描绘出鼠标轨迹需要知道坐标,那么位移值(单位是像素)应该依次相加;而按键分为没有操作,左按键,右按键,分别对应0x00,0x01,0x02

一般鼠标流量是4个字节,也就是32bits,那么上面提到的有用字节应该分别是第1,2,3字节

也有可能是8字节的,那么有用的字节应该分别是第1,3,5字节

也有可能是其他字节长度的,这里就不一一举例了

关于流量包中的USB数据是这样的

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MTmORn0U-1642501848235)(C:/Users/Menglin/AppData/Roaming/Typora/typora-user-images/image-20220118180054970.png)]

从流量包中导出USB数据

tshark -r xxx.pcapng -T fields -e usb.capdata > usbdata.txt

这样导出的数据里面除了鼠标流量,还有键盘流量,关于后者之后会提到

以我这边为例,导出的数据是以两位十六进制代表一位字节的数据

0100ffff01000000

0100000001000000

那么提取第1,3,5字节,由于这里涉及的是光标是一个绘图过程(需要按着左键进行),所以当有左键也就是第1字节等于0x01时,收集第3,5字节的数据并使用gnuplot画图

注意,当垂直或者水平位移值超过127时,那么ta代表的是负值

代码实现

from tqdm import tqdm
f2 = open("result.txt","a+")
with open("usbdata.txt","r") as f:
    posx = 0 # 记录光标的相对于第一个数据的坐标值
    posy = 0
    for line in tqdm(f.readlines()):
        # print(len(line))
        if len(line) != 16: # 根据实际需要调整
            continue
        x = int(line[4:6],16) # 这是位移像素值
        y = int(line[8:10],16)
        if x > 127: # 切换成负位移
            x -= 256
        if y > 127:
            y -= 256
        posx += x
        posy += y
        click = int(line[0:2],16)
        if click == 1:
            f2.write(str(posx)+" "+str(-posy)+'\n') # 由于重新选取鼠标位移,是与实际看到的屏幕是呈镜像的,所以将垂直坐标取反,以得到正确显示在屏幕上的轨迹过程
f.close()
f2.close()

最后得到的是各个时刻的光标的坐标值

gnuplot
plot "result.txt"

image-20220118181642400

这样就成功将鼠标流量中的绘图过程重新展现出来了

键盘流量

长度为8个字节,按键信息在第3个字节上

按键数据的大小对应不同的键位

与鼠标流量一样的,导出数据

tshark -r xxx.pcap -T fields -e usb.capdata > usbdata.txt

创建一个字典来对应第3个字节的大小来替换按键

参考文章

USB流量分析tshark命令:tshark(1) (wireshark.org)

深入理解USB流量数据包的抓取与分析 - Angel_Kitty - 博客园 (cnblogs.com)

【技术分享】从CTF中学USB流量捕获与解析 - 安全客,安全资讯平台 (anquanke.com)

【技术分享】从CTF中学USB流量捕获与解析 - 安全客,安全资讯平台 (anquanke.com)

M3ng@L
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
knm:鼠标键盘流量包取证
05-29
knm 鼠标键盘流量包分析取证 author:、 环境要求 python库 matplotlib tqdm tshark(作者还没研究明白pyshark,暂时只能先靠着tshark提取。别问,问就是DizzyK菜,没得洗呜呜呜) 安装方法 pip install -r requestment.txt apt-get install tshark 使用方法 python knm.py <cmd> [arg] [opts] cmds: pca(p) <pcadile> (<outfile>) 转换pca的USB流量为data(文件) keyboard(k) <datafile> (<outfile>) 识别提取出的data(文件)并还原data(文件)为键盘输入内容 mous
CTF——杂项题的基本解题思路
weixin_44087538的博客
04-10 1062
使用binwalk查看文件的组成部分,使用dd命令对文件进行分离,从图中可以看到0-22895是jpeg格式,22896-23046是zip格式,则dd命令格式为:dd if=输入文件 of=输出文件 bs=1 count=23046 skip=22859,即每一块大小为1,跳过前22895块。zip文件是否加密是通过标识符来显示的,在每个文件的文件目录字段有一位专门标识了文件是否加密,将其设置为00表示该文件未加密,若成功解压则表示文件为伪加密,如果解压出错说明文件为真加密。
USB(键盘)流量分析
BvxiE的博客
07-17 1995
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
流量分析USB键盘与鼠标流量分析
自知.的博客
05-06 6011
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘和鼠标流量为主。 下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量。
USB HID 流量分析详解
p0ise's blog
04-14 1989
USB HID(Human Interface Device),中文译为人机接口设备,是一种允许人与计算机交互的接口的设备,主要用于连接各种人机界面设备,如键盘、鼠标、游戏手柄、数字仪表、触摸屏等。USB HID 设备与计算机通信使用的是 USB HID 协议,这个协议规定了 USB HID 设备与主机之间的通信协议和数据格式。本文将对 USB HID 协议进行简单的介绍,演示如何用 Wireshark 捕获、过滤 USB 流量,重点对鼠标、键盘流量进行分析,利用 Python 脚本解析流量,从中还原出
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听...
USB流量-调参.zip
04-29
https://blog.csdn.net/fjh1997/article/details/105841367这篇文章的实验材料
canbusexplorer:Canbus流量分析
06-07
捕获并了解 Canbus 网络上的流量。 查看文档站点: : 部署概述 +-------------+ +--------------+ +--------+ +-------------+ | OBD Vehicle | | USB / WiFi / | | PC | | Web Browser | | Diagnostics | -->...
CTF-NetA V0.3.2 流量分析工具(自动提取flag)
02-21
USB流量还原(包括鼠标和键盘) 无线流量暴力破解密码,破解密码后自动分析 SQL盲注流量分析,支持二分法,支持盲注,自动识别flag ICMP流量分析(TTL、DATA.len、DATA、ICMP.code) Telnet流量分析 FTP流量分析(识别...
hid键盘报告格式
a65135793的博客
05-11 4818
BYTE1 -- 特殊按键        |--bit0:   Left Control是否按下,按下为1          |--bit1:   Left Shift  是否按下,按下为1          |--bit2:   Left Alt    是否按下,按下为1          |--bit3:   Left GUI(Windows键) 是否按下,按下为1          |--b...
usb流量【0407更完
MuMuLee_的博客
04-05 491
没学完的原因! 一、USB协议 一个pcap包,使用wireshark打开,看到Protocol 为USB协议。 二、 1、安装库 pip install matplotlib numpy 2、提取USB协议数据 tshark -r 包名.pcapng -T fields -e 包名.capdata > 提取文件名.txt 3、cat命令查看分离出的usb数据 cat 提取文件名...
buuctf [第九章][9.4.1 鼠标流量分析]鼠标流量分析writeup
qq_49849300的博客
09-07 290
当取0x00时,代表没有按键,当取0x01时,代表按左键,当取0x02时,代表当前按键为右键。当这个值为正时,代表鼠标水平右移多少像素 当这个值为负时,代表鼠标水平左移多少像素。三个字节与第二字节类似,代表垂直上下移动的偏移。1.得到usbdata.txt。4.用gnuplot工具绘图。一般的鼠标流量都是四个字节。2.得到out.txt。
记一次CTF的USB流量分析
fjh1997的博客
04-29 7099
最近在研究鼠标流量,找到如下的文章: https://www.cnblogs.com/hackxf/p/10670844.html 根据这个师傅的说法,不同的鼠标抓到的流量不一样,一般的鼠标流量是四个字节,第一个字节表示按键指示左键右键,第二个字节表示水平位移,为正(小于127)是向右移动,为负(补码负数,大于127小于255)是向左移动。第三个字节表示垂直位移,为正(小于127)是向上移动,为负...
使用Python操作excel单元格——在单元格中插入公式
xll_007的博客
05-16 390
使用Python操作excel单元格——在单元格中插入公式。 通过使用Python的openpyxl库,来操作excel单元格,在单元格中插入公式的操作。把学习的过程分享给大家。大佬勿喷!
geopandas快速入门报错1
最新发布
weixin_45213317的博客
05-19 188
报错:CRSError: Invalid projection: EPSG:4326: (Internal Proj Error: proj_create: no database context specified)解决方法:重新下载适合自己Python版本的pyproj安装。
Gradio 案例——将 dicom 文件转为 nii文件
蒋含竹的博客
05-15 380
Gradio 的WEB界面案例:利用 SimpleITK 库,将 dicom 文件转为 nii文件
使用XPath来解析网页数据
2301_80263861的博客
05-18 755
首先是定位到超链接为“link4.html”的 a 标签,然后向上翻一级,也就是到了 li 元素,然后再查找这个 a 标签对应的 li 的 class 属性值,即最后的输出为[‘item-1’]第一种是访问class属性为“item-0”的 li 标签下的文字,但是在这行代码里面,li 标签的下一级是 a 标签,没有文字,只有换行符,所以输出也就是['\n ']获取class属性值含 “li” 和 name 属性值为 “item” 的 li 标签下的 a 标签的文字部分。
ctf 流量包usb协议
05-21
USB协议是一种用于在计算机和外部设备之间传输数据的标准。在CTF竞赛中,通常会出现需要分析USB流量包的情况。 USB流量包通常包含了从计算机到USB设备或从USB设备到计算机的数据传输信息。其中,数据传输可以分为控制传输、批量传输、中断传输和等时传输四种方式。 控制传输通常用于配置和控制USB设备,例如设置设备的地址和端点、发送控制命令、获取设备描述符等。批量传输用于传输大量数据,例如打印机输出、音频数据等。中断传输用于传输小量的时间敏感数据,例如鼠标和键盘输入。等时传输用于实时传输数据,例如视频和音频流。 在分析USB流量包时,需要了解USB协议的基础知识,并使用相关软件对流量包进行解析和分析,以便识别数据传输类型、提取数据内容等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值