USB流量取证分析

安全 数据安全
通过对USB接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。

USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。

在Linux中,可以使用lsusb命令,如图所示:

我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。

一、鼠标流量

1.1 特点分析

USB鼠标流量的规则如下所示:

1.2 使用Wireshark捕获和分析

要想使用Wireshark进行捕获,需要在安装时勾选上usbpcap工具选项,这样你的Wireshark中会有一个usb接口的选项,点击就可以进行抓包了。

下图是我点击鼠标左键在屏幕上画圆圈的流量:

有的鼠标可能协议不是很标准,会导致分析不了。

Wireshark中捕获的USB流量集中在Leftover Capture Data模块,我们可以使用tshark工具来进行提取。在Windows中安装tshark.exe的目录中输入:

tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //这里b.pcap是我抓捕的数据包名字,b.txt是把提取的数据输入到b.txt中

查看b.txt的内容会发现,因为有的数据包无用所以出现了很多空行,在进行下一步之前,我们需要把空行去掉。

把空行去掉之后,根据鼠标流量的规则绘制像素坐标,最后通过画图工具(如matlab或者python的matplotlib进行绘制图像即可)。

了解原理之后,为了方便,可以直接使用王一航大佬的工具进行提取,输入:

  1. python UsbMiceDataHacker.py b.pcap LEFT //其中b.pcap是我抓捕的数据包的名字 

运行之后就可以看到画面:

需要注意的是这个工具必须在python2环境下,同时保证安装了matplotlib和numpy。

二、键盘流量

2.1 特点分析

键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。所以如果看到给出的数据包中的信息都是8个字节,并且只有第3个字节不为0000,那么几乎可以肯定是一个键盘流量了。

在USB协议的 文档中搜索 keyboard。就可以找到击键信息和数据包中16进制数据的对照表:

2.2 使用Wireshark捕获和分析

捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。

最后一步我们得到一个压缩包,通过密码进行解压后,得到一个键盘流量的文本文件:

根据键盘流量的特点,我们可以很容易判断出。

对照解码表使用代码进行提取即可,这里贴出代码:

  1. # coding:utf-8 
  2. import sys 
  3. import os 
  4.  
  5. usb_codes = { 
  6.     0x04: "aA", 0x05: "bB", 0x06: "cC", 0x07: "dD", 0x08: "eE", 0x09: "fF", 
  7.     0x0A: "gG", 0x0B: "hH", 0x0C: "iI", 0x0D: "jJ", 0x0E: "kK", 0x0F: "lL", 
  8.     0x10: "mM", 0x11: "nN", 0x12: "oO", 0x13: "pP", 0x14: "qQ", 0x15: "rR", 
  9.     0x16: "sS", 0x17: "tT", 0x18: "uU", 0x19: "vV", 0x1A: "wW", 0x1B: "xX", 
  10.     0x1C: "yY", 0x1D: "zZ", 0x1E: "1!", 0x1F: "2@", 0x20: "3#", 0x21: "4$", 
  11.     0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(", 0x27: "0)", 
  12.     0x2C: "  ", 0x2D: "-_", 0x2E: "=+", 0x2F: "[{", 0x30: "]}", 0x32: "#~", 
  13.     0x33: ";:", 0x34: "'\"", 0x36: ",<", 0x37: ".>", 0x4f: ">", 0x50: "<
  14.  
  15.  
  16. def code2chr(filepath): 
  17.     lines = [] 
  18.     pos = 0 
  19.     for x in open(filepath, "r").readlines(): 
  20.         code = int(x[6:8], 16)  # 即第三个字节 
  21.         if code == 0: 
  22.             continue 
  23.         # newline or down arrow - move down 
  24.         if code == 0x51 or code == 0x28: 
  25.             pos += 1 
  26.             continue 
  27.         # up arrow - move up 
  28.         if code == 0x52: 
  29.             pos -1 
  30.             continue 
  31.  
  32.         # select the character based on the Shift key 
  33.         while len(lines) <= pos: 
  34.             lines.append("") 
  35.         if code in range(4, 81): 
  36.             if int(x[0:2], 16) == 2: 
  37.                 lines[pos] += usb_codes[code][1] 
  38.             else: 
  39.                 lines[pos] += usb_codes[code][0] 
  40.  
  41.     for x in lines: 
  42.         print(x) 
  43.  
  44.  
  45. if __name__ == "__main__": 
  46.     code2chr('E://CTF练习/杂项/18e4c103d4de4f07b33a42cb1f0eaa1d/00000122/usbdata.txt') 

当然也可以直接使用王一航大佬的代码,直接从pcap包提取出文件,省去了中间很多步骤,代码也很通用。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2016-01-14 11:40:13

2016-11-24 11:07:54

Andriod恶意代码

2018-07-02 13:00:53

2021-01-28 09:34:08

解密密钥取证分析

2017-01-03 15:35:16

CTFUSB流量

2019-05-17 09:44:15

2017-08-09 16:24:46

2019-01-02 13:45:19

2009-08-04 10:46:04

2020-09-11 10:51:53

全流量

2020-08-14 22:53:13

威胁

2012-11-30 10:44:06

网络回溯分析技术

2021-01-26 09:30:32

加密虚拟机攻击

2010-03-18 13:14:53

无线USB协议

2015-11-09 15:58:03

2023-11-09 07:23:57

Istio路由分析

2018-10-12 11:52:42

CIOh虚拟网络流量

2011-10-13 17:06:44

SonicWALL应用流量

2009-07-04 21:19:04

点赞
收藏

51CTO技术栈公众号