记一道USB流量分析题
本文内容全部来自于下面两个博客:
USB-HID的初步认识
从CTF中学USB流量捕获与解析
USB协议的数据部分在Leftover Capture Data域之中,在Mac和Linux下可以用tshark命令可以将 leftover capture data单独提取出来 命令如下:
tshark -r usb1.pcapng -T fields -e usb.capdata > usbdata.txt
USB流量分为键盘流量和鼠标流量。
键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次key stroke都会产生一个keyboard event usb packet。
鼠标数据包的数据长度为4个字节,第一个字节代表按键,当取0x00时,代表没有按键、为0x01时,代表按左键,为0x02时,代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。第三个字节与第二字节类似,代表垂直上下移动的偏移。
**usbkeyboard的映射表**
根据这个映射表解码得出数据包的脚本如下:
mappings = { 0x04:"A", 0x05:"B", 0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G", 0x0B:"H", 0x0C:"I", 0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O", 0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5", 0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]", 0X2B:" ", 0x2C:" ", 0x2D:"-", 0x2E:"=", 0x2F:"[", 0x30:"]", 0x31:"\\", 0x32:"~", 0x33:";", 0x34:"'", 0x36:",", 0x37:"." }
nums = []
keys = open('usbdata.txt')
for line in keys:if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':continuenums.append(int(line[6:8],16))
keys.close()
output = ""
for n in nums:if n == 0 :continueif n in mappings:output += mappings[n]else:output += '[unknown]'
print 'output :\n' + output
附鼠标流量数据包转换脚本
nums = []
keys = open('data.txt','r')
posx = 0
posy = 0
for line in keys:
if len(line) != 12 : continue
x = int(line[3:5],16)
y = int(line[6:8],16)
if x > 127 : x -= 256
if y > 127 : y -= 256
posx += x
posy += y
btn_flag = int(line[0:2],16) # 1 for left , 2 for right , 0 for nothing
if btn_flag == 1 : print posx , posy
keys.close()
转换后会得到一系列坐标点,需要辅以gnuplot 或者其他的绘图工具画出即可。
记一道USB流量分析题相关推荐
- 一道ctf流量分析题
此ctf用到wireshark软件,Wireshark可以帮助解决一些问题比如:丢包.延迟.DDoS攻击.它可以将网络流量展现,并可以通过软件内部的工具对流量进行分析,从而找出问题所在,并解决问题. ...
- 2021年中国工业互联网安全大赛核能行业赛道writeup之usb流量分析
目录 一.USB协议 二.键盘流量 三.鼠标流量 四.writeup 附件题:usb流量分析 题目描述: 具体描述忘记了o(╯□╰)o 大概意思是有个U盘插到电脑上,然后经过一些操作导致该电脑重启了. ...
- 2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp
2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp .0x00 前言 本人作为业余爱好者参加了2021年云南省职工职业技能大赛的网络安全比赛,比赛形式以CTF+理论考 ...
- CTF misc之流量分析题套路总结
1.前言 昨天去I春秋刷了几题流量分析题,然后总结了一下流量分析题的做题方法. 2.刷题 2.1 可恶的黑客 步骤一.HTTP追踪流先了解进行什么操作 可以看到是传了webshell然后进行文件操作 ...
- 记一次流量分析实战——安恒科技(八月ctf)
题目所需流量包: 链接:https://pan.baidu.com/s/1VprgAey4UQlXkWyrpCORBg?pwd=o4vw 提取码:o4vw 一.题目背景 某公司内网网络被黑客渗透,简单 ...
- 工控流量分析题+wireshark学习
写在前面 暑假报名了工控比赛 所以要找些工控的题目来刷刷 正好比赛方提供的靶场有很多类似的题目 开始痛苦的学习过程... Wireshark Capture filter <Protocol n ...
- ctf php 流量分析题,GKCTF EZWEB的分析题解和思考
GKCTF EZ三剑客-EzWeb 看到这个题前端和我自己出的一个题实在是很像,同样是输入一个url,先看题目长啥样吧. 嗯,啥也没有,输入url基本没反应,F12给的提示是?secret,输入后发现 ...
- ctf php 流量分析题,CTF平台hackit题目分析与解答
之前在网上经常看到很多的CTF的练习平台,在加上搞CTF比赛的学弟推荐了这个 CTF平台 .当时在网上看了一下,这个平台推荐的人还是很多的.这个平台是由一个白帽子个人开发的一个平台.趁着这个平台还没有 ...
- 3CTF的两道流量分析题
文章目录 第一道忘了叫啥了 第二道好像是叫黑客攻击啥的 方法一:使用mimikatz 方法二:利用Windows Password Recovery软件 第一道忘了叫啥了 题目链接:https://u ...
最新文章
- python装饰器实例-Python装饰器简单用法实例小结
- spring-data-jpa Specification构建动态ql
- 机器学习第三篇:详解朴素贝叶斯算法
- The C Programming Language--可变参数的函数
- 【java笔记】缓冲流
- c#如何取得事件注册的方法
- 【SSH网上商城项目实战28】使用Ajax技术局部更新商品数量和总价
- 朋友们,想去一线大厂?卷起来...
- 什么是B2B、B2C、C2C?
- 物理-空间跳跃技术:空间跳跃技术
- linux cp指令报错:cp: -r not specified; cp: omitting directory ‘xxx‘(需要加-r递归拷贝)
- devcpp的简单使用
- 国产芯片一级供应商有哪些
- 国际期货和国内期货的区别带招商
- 美就在你身边201209开学第一课
- 对ABAP程序调优的学习(三)并行并发读取
- python联机麻将_python麻将和牌算法
- OI生涯回忆录(Part7:至高一湖南集训Day3)
- 使用计算机用眼卫生,长期用电脑致眼睛干涩 注意用眼卫生
- 计蒜客/阿里的新游戏
热门文章
- 贾跃亭妻子甘薇被列入老赖名单;360两高管离职;中国联通正式关闭2G丨价值早报
- [附源码]计算机毕业设计的高校资源共享平台Springboot程序
- java ao层_Java学习过程中的一些记录 DO、DTO、BO、AO、VO、POJO定义 | 酷客365
- 医院教学大难题,如何分配实习医生,规培医生去各科室培训
- 将Vue通过nginx部署到阿里云服务器上
- 未能加载文件或程序集“Newtonsoft.Json,Version = 13.0.0.0,Culture = neutral,PublicKeyToken = 30ad4fe6b2a6aeed“..
- 中文垂直搜索引擎、行业搜索引擎大全
- Unity官方代言角色Unity Chan(Unity娘/优妮蒂/ユニティちゃん)模型免费下载
- PC威信 3.7.5 测试HOOK接口
- 《当程序员的那些狗日日子》(五十六)步入正轨