深入理解USB流量数据包的抓取与分析

  • 时间:
  • 浏览:0
  • 来源:uu快3APP_uu快3官方网址

最后的flag可是flag{JHAWLZKEWXHNCDHSLWBAQJTUQZDXZQPF}

鼠标数据包的数据长度为有二个 字节,第有二个 字节代表按键,当取0x00时,代表这么按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第3个字节都须要看成是有二个 signed byte类型,其最高位为符号位,当你这个 值为正时,代表鼠标水平右移好多个像素,为负时,代表水平左移好多个像素。第有二个 字节与第二字节这个,代表垂直上下移动的偏移。

结果如下:

最后是USB Memory,肯能说是数据存储。External HDD, thumb drive / flash drive,等是否 你这个 类的。

Windows下装了wireshark的环境下,在wireshark目录下有个tshark.exe,比如我的在D:\Program Files\Wireshark\tshark.exe

我找到了如下这篇关于怎么能否爆破密匙:http://www.practicalcryptography.com/cryptanalysis/stochastic-searching/cryptanalysis-autokey-cipher/

根据前面的知识铺垫,让.我歌词 歌词 让.我歌词 歌词 大致对USB流量包的抓取有了有二个 轮廓了,下面让.我歌词 歌词 让.我歌词 歌词 介绍一下怎么能否分析有二个 USB流量包。

让.我歌词 歌词 让.我歌词 歌词 写出如下脚本:

调用cmd,定位到当前目录下,输入如下命令即可:

HID是人性化的接口。你这个 类通讯适用于交互式,有你这个 功能的设备有:键盘,鼠标,游戏手柄和数字显示设备。

让.我歌词 歌词 让.我歌词 歌词 把前面的整合成脚本,得:

在一次演练中,让.我歌词 歌词 让.我歌词 歌词 通过wireshark抓取了有二个 如下的数据包,让.我歌词 歌词 让.我歌词 歌词 怎么能否对其进行分析?

我翻阅了几滴 的USB协议的文档,在这里让.我歌词 歌词 让.我歌词 歌词 都须要找到你这个 值与具体键位的对应关系:http://www.usb.org/developers/hidpage/Hut1_12v2.pdf

打开wireshark,让让我看usbmonX其中X代表数字。下图是让.我歌词 歌词 让.我歌词 歌词 本次的结果(我使用的是root):

其中,ID 0e0f:0003可是Vendor-Product Id对,Vendor Id的值是0e0f,或者Product Id的值是0003Bus 002 Device 002代表usb设备正常连接,这点须要记下来

有关tshark命令的完整篇 使用参考wireshark官方文档:https://www.wireshark.org/docs/man-pages/tshark.html

UART肯能Universal Asynchronous Receiver/Transmitter。你这个 土方法下,设备可是简单的将USB用于接受和发射数据,除此之外就再这么其他通讯功能了。

让.我歌词 歌词 让.我歌词 歌词 都须要看出这是自动密匙解码,现在的问題是在让.我歌词 歌词 让.我歌词 歌词 我想知道密钥的情况下应该怎么能否解码呢?

跑出来的结果如下:

在结束前,让.我歌词 歌词 让.我歌词 歌词 先介绍其他USB的基础知识。USB有不同的规格,以下是使用USB的五种土方法:

效果如下:

让.我歌词 歌词 让.我歌词 歌词 用root权限运行Wireshark捕获USB数据流。或者通常来说让.我歌词 歌词 .我歌词 歌词 是否 建议这么做。让.我歌词 歌词 让.我歌词 歌词 须要给用户足够的权限来获取linux中的usb数据流。让.我歌词 歌词 让.我歌词 歌词 都须要用udev来达到让.我歌词 歌词 让.我歌词 歌词 的目的。让.我歌词 歌词 让.我歌词 歌词 须要创建有二个 用户组usbmon,或者把让.我歌词 歌词 让.我歌词 歌词 的账户加带到你这个 组中。

每有二个 USB设备(尤其是HID肯能Memory)是否 有二个 供应商IDVendor Id)和产品识别码(Product Id)。Vendor Id是用来标记哪个厂商生产了你这个 USB设备。Product Id用来标记不同的产品,他并是否 有二个 特殊的数字,当然最好不同。如下图

这么对于让.我歌词 歌词 让.我歌词 歌词 开篇提到的问題,让.我歌词 歌词 让.我歌词 歌词 都须要模仿尝试如上你这个 例子:

运行命令并查看usbdata.txt发现数据包长度为3个字节

让.我歌词 歌词 让.我歌词 歌词 就看了flag的字样,挂接可得如下:



作  者: Angel_Kitty

出  处:http://www.cnblogs.com/ECJTUACM-873284962/

关于作者:潜心机器学习以及信息安全的综合研究。如有问題或建议,请多多赐教!

版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意须要保留此段声明,且在文章页面明显位置给出原文链接。

特此声明:所有评论和私信是否 在第一时间回复。也欢迎园子的大大们指正错误,一齐进步。肯能直接私信我

声援博主:肯能您其实文章对您有帮助,都须要点击右下角【推荐】推荐一下该博文。您的鼓励是作者坚持原创和持续写作的最大动力!

键盘流量数据包转换脚本如下:

肯能接口趋于稳定活跃情况肯能有数据流经过的可是,wireshark的界面就会把它以波形图的土方法显示出来。这么,让.我歌词 歌词 让.我歌词 歌词 该选那个呢?这么错,可是可是让.我歌词 歌词 让.我歌词 歌词 让.我歌词 歌词 记下来的,你这个 X的数字可是对应这USB Bus。在本文中是usbmon0。打开他就都须要观察数据包了。

关于USB的特点应用我找了一张图,很清楚的反应了你这个 问題:

上边你这个 例子的项目链接如下:https://files.cnblogs.com/files/ECJTUACM-873284962/UsbKeyboardDataHacker.rar

让.我歌词 歌词 让.我歌词 歌词 用上边的python脚本将第有二个 字节取出来,对应对照表得到解码:

USB协议的细节方面参考wireshark的wiki:https://wiki.wireshark.org/USB

运行结果如下:

让.我歌词 歌词 让.我歌词 歌词 把字段进行分割看:

这里让.我歌词 歌词 让.我歌词 歌词 只关注USB流量中的键盘流量和鼠标流量。

首先让.我歌词 歌词 让.我歌词 歌词 通过tshark将usb.capdata完整篇 导出:

其中使用的最广的是否 USB HID 可是USB Memory了。

接下来,让.我歌词 歌词 让.我歌词 歌词 须要usbmon内核模块。肯能该模块这么被加载,让.我歌词 歌词 让.我歌词 歌词 都须要通过以下命令加载该模块:

这个说,我在VMware下有有二个 无线鼠标。它是属于HID设备。你这个 设备正常的运行,或者通过lsusb你这个 命令查看所有USB设备,现在让.我歌词 歌词 让.我歌词 歌词 能找出哪每根是你这个 鼠标吗??这么错,可是第3个,可是下面这条:

微信打赏

本文涉及到的所有项目链接完整篇 中放Github上:

通过你这个 ,让.我歌词 歌词 让.我歌词 歌词 都须要了解到usb设备与主机之间的通信过程和工作原理,让.我歌词 歌词 让.我歌词 歌词 都须要来对流量包进行分析了。

让.我歌词 歌词 让.我歌词 歌词 分析都须要知道,USB协议的数据每种在Leftover Capture Data域之中,在Mac和Linux下都须要用tshark命令都须要将 leftover capture data单独提取出来,命令如下:

爆破脚本如下:

首先让.我歌词 歌词 让.我歌词 歌词 从上边的数据包分析都须要知道,这是个USB的流量包,让.我歌词 歌词 让.我歌词 歌词 都须要先尝试分析一下USB的数据包是怎么能否捕获的。

支付宝打赏

usb keyboard的映射表 根据你这个 映射表将第有二个 字节取出来,对应对照表得到解码:

上图是我在虚拟机环境下连接在我电脑上的USB设备列表,通过lsusb查看命令。

键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次key stroke是否 产生有二个 keyboard event usb packet。

您都须要考虑给博主来个小小的打赏以资鼓励,您的肯定将是我最大的动力。thx.

让.我歌词 歌词 让.我歌词 歌词 先拿GitHub上有二个 简单的例子结束讲起:

另外贴上一份鼠标流量数据包转换脚本:

猜你喜欢

请各位高手相助!解决后追加1000分,绝不食言。FLASH和IEBOOK的问题。

换一换下载百度知道APP,抢鲜体验不得劲推荐你对你这种 回答的评价是?展开全版你这种 问题都在给分能出理 滴,你这种 问题是要给钱要能出理 滴。。。展开全版追问扫描

2020-02-25

求美国作家Pearl S. Buck简介(两三句即可)及其主要作品

获奖《生芦苇》(TheLivingReed)《北京来信》(LetterfromPeking)1935年,威廉·迪·豪威尔勋章《桥》(ABridgeforPassing)《帝国男

2020-02-25

2019阿里云双十一活动热门云服务器价格表

双十一的价格绝对是一年当中最低的,正可能性没人,什么都买车人,站长和企业主一定会取舍在这一 就让入手。都需要节省不少开销。可能性你是老用户说说,也都需要借用买车人家人,亲们

2020-02-24

周朝时期(包括春秋战国时期)的所有成语故事

展开全部扫描二维码下载展开全部本回答被前前男友采纳你对你这个回答的评价是?可选中2个 或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个间题。沉鱼落雁;一鸣惊人

2020-02-24

《倚楼听风雨》的下一句是?

下载百度知道APP,抢鲜体验倚楼听风雨,展开全部抛开名利淡,风雨可知愿?全诗是:携手归林远。换一换使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。风潜

2020-02-24