1.鼠标流量分析
1.常用命令
tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt
如果提取出来的数据有空行,可以将命令改为如下形式:
tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt
如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],“无冒号时数据在[5:7]”—但是我在另一篇博客{见USB流量取证分析}上看的是无冒号时数据在[4:6],我用的[5:7])
参数:
-r:设置tshark分析的输入文件
-T:设置解码结果输出的格式,包括fileds,text,ps,psml和pdml,默认为text
对于鼠标流量的字节分析
基础知识
鼠标移动时表现为连续性,与键盘击键的离散性不一样,但实际上鼠标动作所产生的数据包也是离散的。不同的鼠标抓到的流量不一样,一般的鼠标流量都是四个字节
每一个数据包的数据区有四个字节。
第一个字节代表按键:
当取0x00时,代表没有按键,当取0x01时,代表按左键,当取0x02时,代表当前按键为右键。
第二个字节可以看成是一个signed byte类型,其最高位为符号位:
当这个值为正时,代表鼠标水平右移多少像素
当这个值为负时,代表鼠标水平左移多少像素。
第三个字节与第二字节类似,代表垂直上下移动的偏