华硕主板不认usb鼠标键盘_【USB流量取证分析】

最新推荐文章于 2024-11-02 10:01:03 发布
最新推荐文章于 2024-11-02 10:01:03 发布
阅读量742 收藏
点赞数
文章标签: 华硕主板不认usb鼠标键盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33396922/article/details/112733745
版权

USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。

在Linux中,可以使用lsusb命令,如图所示:

41cc5c0a876c22c94011b0448ebb52e7.png

我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。

一、鼠标流量

1.1 特点分析

USB鼠标流量的规则如下所示:

731f8c67b640f529745a21e10b9d0d1c.png

1.2 使用Wireshark捕获和分析

要想使用Wireshark进行捕获,需要在安装时勾选上usbpcap工具选项,这样你的Wireshark中会有一个usb接口的选项,点击就可以进行抓包了。

adbe2362728de2af8537a0fef045f144.png

下图是我点击鼠标左键在屏幕上画圆圈的流量:

b9e5602476f6c2c7b49b7ca37d605872.png

有的鼠标可能协议不是很标准,会导致分析不了。

Wireshark中捕获的USB流量集中在Leftover Capture Data模块,我们可以使用tshark工具来进行提取。在Windows中安装tshark.exe的目录中输入:

tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //这里b.pcap是我抓捕的数据包名字,b.txt是把提取的数据输入到b.txt中

83d69085735c69bbf210a9f90d0b6b20.png

查看b.txt的内容会发现,因为有的数据包无用所以出现了很多空行,在进行下一步之前,我们需要把空行去掉。

c208400b78e0c6d618124ed8efa09b11.png

把空行去掉之后,根据鼠标流量的规则绘制像素坐标,最后通过画图工具(如matlab或者python的matplotlib进行绘制图像即可)

了解原理之后,为了方便,可以直接使用王一航大佬的工具进行提取,输入:

python UsbMiceDataHacker.py b.pcap LEFT //其中b.pcap是我抓捕的数据包的名字

运行之后就可以看到画面:

40e2d55586d7744c3ead27379bc9aefd.png

需要注意的是这个工具必须在python2环境下,同时保证安装了matplotlib和numpy。

二、键盘流量

2.1 特点分析

键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。所以如果看到给出的数据包中的信息都是8个字节,并且只有第3个字节不为0000,那么几乎可以肯定是一个键盘流量了。

在USB协议的 文档中搜索 keyboard。就可以找到击键信息和数据包中16进制数据的对照表:

0fb372c9af59b61117ffab006b9edca8.png

2.2 使用Wireshark捕获和分析

捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。

最后一步我们得到一个压缩包,通过密码进行解压后,得到一个键盘流量的文本文件:

1aee54c251c734e62c877b370bfb1956.png

根据键盘流量的特点,我们可以很容易判断出。

对照解码表使用代码进行提取即可,这里贴出代码:

# coding:utf-8import sysimport osusb_codes = {    0x04: "aA", 0x05: "bB", 0x06: "cC", 0x07: "dD", 0x08: "eE", 0x09: "fF",    0x0A: "gG", 0x0B: "hH", 0x0C: "iI", 0x0D: "jJ", 0x0E: "kK", 0x0F: "lL",    0x10: "mM", 0x11: "nN", 0x12: "oO", 0x13: "pP", 0x14: "qQ", 0x15: "rR",    0x16: "sS", 0x17: "tT", 0x18: "uU", 0x19: "vV", 0x1A: "wW", 0x1B: "xX",    0x1C: "yY", 0x1D: "zZ", 0x1E: "1!", 0x1F: "2@", 0x20: "3#", 0x21: "4$",    0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(", 0x27: "0)",    0x2C: "  ", 0x2D: "-_", 0x2E: "=+", 0x2F: "[{", 0x30: "]}", 0x32: "#~",    0x33: ";:", 0x34: "'\"", 0x36: ",", 0x4f: ">", 0x50: "    lines = []    pos = 0for x in open(filepath, "r").readlines():        code = int(x[6:8], 16)  # 即第三个字节if code == 0:            continue# newline or down arrow - move downif code == 0x51 or code == 0x28:            pos += 1continue# up arrow - move upif code == 0x52:            pos -= 1continue# select the character based on the Shift keywhile len(lines) <= pos:            lines.append("")        if code in range(4, 81):            if int(x[0:2], 16) == 2:                lines[pos] += usb_codes[code][1]            else:                lines[pos] += usb_codes[code][0]    for x in lines:        print(x)if __name__ == "__main__":    code2chr('E://CTF练习/杂项/18e4c103d4de4f07b33a42cb1f0eaa1d/00000122/usbdata.txt')

当然也可以直接使用王一航大佬的代码,直接从pcap包提取出文件,省去了中间很多步骤,代码也很通用。

作者:polemo,来源:FreeBuf.COM,转自:E安网事

6b868d8790bcca2a643dbf8e153b0a6d.gif

李俊章
关注
USB流量取证分析
Lemon's blog
09-22 6119
0x00:什么是USBUSB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。 0x01:USB使用的三种方式 USB UART UART,这种方式下,设备只是简单的将 USB 用于接受和发射数据,除此之外就再没有,其他通讯功能了。 USB HID HID 是人性化的接口。这
win10兼容模式怎么设置_Win10系统如何在BIOS设置中开启UEFI模式--win10专业版
weixin_39610722的博客
11-18 2667
Win10系统如何在BIOS设置中开启UEFI模式?UEFI模式是一种新型主板引导模式,然而很多Win10系统用户却知道要如何开启UEFI模式,其实我们可以通过BIOS来进行开启,那么Win10系统该如何操作呢?接下来小编就来教大家Win10系统在BIOS设置中开启UEFI模式的具体方法,希望大家会喜欢。Win10系统BIOS设置开启UEFI模式的方法:主板同,开启UEFI模式的步骤可能有所...
华硕P4B266-C主板键盘鼠标能使用?
01-20
故障现象:开机能显示桌面,但键盘鼠标无反映。   故障分析:此板开机能出现Windows桌面,但键盘鼠标能使用,按一下开关可以正常关机。初步判断为假死机,一般为键盘鼠标接口故障。   1.检查键盘的+5V供电,测量+5V正常,如图1所示。   2.检查键盘鼠标接口的数据和时钟信号线,查其阻值仅分别为0.019Ω、0.101Ω,比正常值500Ω偏差很多,如图2、图3所示。   鼠标口的也一样,值偏小,如图4所示。   根据以上测量说明接口有元件明显短路。分析键盘鼠标电路,应该为排容漏电或者IO芯片损坏。观察此板的键盘/鼠标座 旁有一个标为C151的排容,如图5所
华硕主板usb鼠标键盘_台式电脑主机USB接口全失效问题
weixin_34984235的博客
01-12 8470
主机配置问题呈现:使用主机时,发现USB接口全失效,插入的USB设备都使用了,特别是USB连接的键盘鼠标也无法识别使用,只能使用PS/2接口的键盘鼠标。使用使用PS/2接口的键盘鼠标。进入系统后,插入的USB,屏幕右下角只闪现“一个USB设备运行正常并已经超过其集线器端口的电源限制”。1.从BIOS查看了设置没问题2.主机插入PS/2接口的键盘鼠标,重新安装了WIN7、WIN10,主机...
win10win键无反应_电脑键盘鼠标没反应的解决办法
weixin_39753584的博客
11-18 3037
电脑使用过程中经常会遇到键盘或者鼠标突然没用反应的情况,今天来说说,怎么排除和解决的方法。先说鼠标,现在的鼠标都是USB接口或者无线鼠标,U口鼠标出现无反应的情况,首先看一下键盘是否有反应,确定有没有死机,按一下Windows图标键,看看能能弹出开始菜单,如下图:如果能弹出就没死机,只是鼠标问题 ,将鼠标重新插拔,或换一个插口,最好接到主机后面板的接口,前面板的USB接口有时会有供电足的情况;...
流量分析USB键盘鼠标流量分析
自知.的博客
05-06 1万+
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘鼠标流量为主。 下面通过简单的讲解与例题的展示,分析键盘流量鼠标流量
机子重启后就这样了怎么回事
iuu926的博客
02-03 3398
AMIBIOS(C)2023 American Megatrends, Inc. ASUS PRIME H610M-K D4 ACPI BIOS Revision 2403CPU: 12th Gen Intel(R) Core(TM) 15-12400fSpeed: 4000MHzTotal Memory: 16384MB (DDR4-2133)USB Devices total: o Drive, o Keyboard,0 Mouse,0 HubDetected Storages.SATA6G_3: WD
网络安全取证_鼠标键盘流量分析_USB协议解析_基于Python和tshark的USB流量分析工具_用于提取和分析PCAPPCAPNG格式的USB流量数据_支持键盘按键记录和鼠.zip
最新发布
04-27
网络安全取证_鼠标键盘流量分析_USB协议解析_基于Python和tshark的USB流量分析工具_用于提取和分析PCAPPCAPNG格式的USB流量数据_支持键盘按键记录和鼠
网络安全_流量分析_键盘鼠标数据_取证工具_knmpy_1744038178.zip
04-08
网络安全_流量分析_键盘鼠标数据_取证工具_knmpy_1744038178
网络安全_键盘数据_提取分析_取证工具_1744037191.zip
04-08
网络安全_键盘数据_提取分析_取证工具_1744037191
UsbKeyboardDataHacker:USB键盘流量取证工具 , 用于恢复用户的击键信息
05-11
用法 Usage : python UsbKeyboardHacker.py data.pcap Tips : To use this python script , you must install the tshark first. You can use `sudo apt-get install tshark` to install it ...
华硕主板键盘 怎么开机跳过键盘自检.
热门推荐
husion01的专栏
07-22 1万+
BIOS,boot,选择跳过"*F1*" wait. 
ctf流量分析练习二
gclome的博客
09-06 3824
上次的流量分析做的我一个脑袋两个大!但是能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量分析USB流量分析和其他流量分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
usb serial converter驱动安装_大明:教你解决安装win7系统鼠标键盘失灵问题,简单有效...
weixin_39724009的博客
12-08 2036
大家好,我是大明,安装完win7鼠标键盘失灵这个问题的原因是因为win7系统没有USB3.0驱动,所以USB设备都无法使用,这类问题大部分都会出现在新电脑安装win7,而老旧电脑安装win7很少会出现这个问题,那么接下来大明就详细讲一下这个问题的解决方法。新电脑安装win7鼠标键盘失灵解决方法如果是”新电脑“安装win7系统,首先要解决”USB3.0“驱动的问题,大家可以到网络下载内置USB3.0...
键盘流量分析
xiaokerwnrwn的博客
03-18 1675
USB协议数据部分在Leftover Capture Data(数据传输过程中未及时处理而被延迟捕获的数据,比如鼠标移动产生的离散数据包)或者在HID data(USB传输的,与人体输入设备相关的数据,比如鼠标键盘)中,数据长度为8个字节,而键盘敲击信息集中在第三个字节中。3.使用命令:使用tshark工具对(-r atta.pcapng)atta.pcapng文件进行分析,以(-T json)json格式输出捕获到的数据包信息,命名为test.json。键盘流量分析USB流量分析的一种。
华硕主板usb鼠标键盘_笔记本鼠标失灵原因 笔记本鼠标失灵解决办法【详解】...
weixin_42356552的博客
12-31 3910
  很多朋友应该都遇到过这种情况,笔记本用着用着,然后 笔记本鼠标动了,怎么操作都没有反应。鼠标键盘是辅助我们进行电脑操作的设备,笔记本配置个鼠标使用起来也比较方便,可是 笔记本鼠标 很容易出问题, 笔记本鼠标 失灵问题是最常见的一种故障,下面给朋友们详细介绍一下 笔记本鼠标 失灵的原因及解决方法。  笔记本鼠标失灵的原因及解决办法:  1、 笔记本鼠标 失灵USB接口的鼠标居多,可能鼠...
USB流量
chenran0111的博客
12-26 875
usb键盘流量的数据在上面会有提到每个按键对应的数据,一般来说,只需要看第一列和第三列即可,第一列代表的是按键,第三列是按键对用的数据。一般来说,分析键盘流量最重要的就在第三个字节,第三个字节是哪个十六进制数,你就可以直接找十六进制对应的信息即可。那么第三个字节是1B,就去找1B对应的信息,发现是字母x,所以按下的是shift键和字母x键。按下为1,第一字节一共是八位二进制数组成的一个十六进制数,所以,从右到左一共八个零。第一字节代表按键:00,代表没有按键。如上图,这是键盘流量八个字节中的第一个字节。
杂项——USB键盘鼠标流量分析——BUUCTF——流量分析
2301_80905479的博客
11-02 1381
GET DESCRIPTOR 和 URB_INTERRUPT in 都属于 USB 数据传输方式,但它们的用途同,GET DESCRIPTOR 用于获取设备信息,而 URB_INTERRUPT in 用于实时地获取设备数据。端点描述符(Endpoint Descriptor):用于描述USB设备的端点信息,包括端点地址、端点类型、端点方向、最大包大小等信息。设备描述符(Device Descriptor):用于描述 USB 设备的基本属性,如设备厂商 ID、设备产品 ID、设备类别等。
CTF(misc) USB流量截取(键盘
m0_59197314的博客
07-26 1129
解压文件后获得一个flag.pcap流量包,用wireshark打开,右键红圈部分选择应用为列出现相关数据。使用脚本提取出对应的键盘字母,最终获得flag,注意下格式改下大小写。使用tshark工具将所需信息保存到usbdata.txt文件中。将文件用脚本分隔,获得out.txt文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值