USB是 UniversalSerial Bus(通用串行總線)的縮寫，是一個外部總線標(biāo)準(zhǔn)，用于規(guī)范電腦與外部設(shè)備的連接和通訊，例如鍵盤、鼠標(biāo)、打印機(jī)、磁盤或網(wǎng)絡(luò)適配器等等。通過對該接口流量的監(jiān)聽，我們可以得到鍵盤的擊鍵記錄、鼠標(biāo)的移動軌跡、磁盤的傳輸內(nèi)容等一系列信息。

在Linux中，可以使用lsusb命令，如圖所示：

我們這里主要演示USB的鼠標(biāo)流量和鍵盤流量。Linux下的分析已經(jīng)比較多了，下面的環(huán)境均在Windows下進(jìn)行。

一、鼠標(biāo)流量

1.1 特點分析

USB鼠標(biāo)流量的規(guī)則如下所示：

1.2 使用Wireshark捕獲和分析

要想使用Wireshark進(jìn)行捕獲，需要在安裝時勾選上usbpcap工具選項，這樣你的Wireshark中會有一個usb接口的選項，點擊就可以進(jìn)行抓包了。

下圖是我點擊鼠標(biāo)左鍵在屏幕上畫圓圈的流量：

有的鼠標(biāo)可能協(xié)議不是很標(biāo)準(zhǔn)，會導(dǎo)致分析不了。

Wireshark中捕獲的USB流量集中在Leftover Capture Data模塊，我們可以使用tshark工具來進(jìn)行提取。在Windows中安裝tshark.exe的目錄中輸入：

tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //這里b.pcap是我抓捕的數(shù)據(jù)包名字，b.txt是把提取的數(shù)據(jù)輸入到b.txt中

查看b.txt的內(nèi)容會發(fā)現(xiàn)，因為有的數(shù)據(jù)包無用所以出現(xiàn)了很多空行，在進(jìn)行下一步之前，我們需要把空行去掉。

把空行去掉之后，根據(jù)鼠標(biāo)流量的規(guī)則繪制像素坐標(biāo)，最后通過畫圖工具(如matlab或者python的matplotlib進(jìn)行繪制圖像即可)。

了解原理之后，為了方便，可以直接使用王一航大佬的工具進(jìn)行提取，輸入：

python UsbMiceDataHacker.py b.pcap LEFT //其中b.pcap是我抓捕的數(shù)據(jù)包的名字 

運行之后就可以看到畫面：

需要注意的是這個工具必須在python2環(huán)境下，同時保證安裝了matplotlib和numpy。

二、鍵盤流量

2.1 特點分析

鍵盤數(shù)據(jù)包的數(shù)據(jù)長度為8個字節(jié)，擊鍵信息集中在第3個字節(jié)，每次擊鍵都會產(chǎn)生一個數(shù)據(jù)包。所以如果看到給出的數(shù)據(jù)包中的信息都是8個字節(jié)，并且只有第3個字節(jié)不為0000，那么幾乎可以肯定是一個鍵盤流量了。

在USB協(xié)議的 文檔中搜索 keyboard。就可以找到擊鍵信息和數(shù)據(jù)包中16進(jìn)制數(shù)據(jù)的對照表：

2.2 使用Wireshark捕獲和分析

捕獲的步驟與上面相似。下面以XCTF的高校戰(zhàn)疫比賽中的一道例題(ez_mem&usb)來說明。

最后一步我們得到一個壓縮包，通過密碼進(jìn)行解壓后，得到一個鍵盤流量的文本文件：

根據(jù)鍵盤流量的特點，我們可以很容易判斷出。

對照解碼表使用代碼進(jìn)行提取即可，這里貼出代碼：

# coding:utf-8 
import sys 
import os 
 
usb_codes = { 
    0x04: "aA", 0x05: "bB", 0x06: "cC", 0x07: "dD", 0x08: "eE", 0x09: "fF", 
    0x0A: "gG", 0x0B: "hH", 0x0C: "iI", 0x0D: "jJ", 0x0E: "kK", 0x0F: "lL", 
    0x10: "mM", 0x11: "nN", 0x12: "oO", 0x13: "pP", 0x14: "qQ", 0x15: "rR", 
    0x16: "sS", 0x17: "tT", 0x18: "uU", 0x19: "vV", 0x1A: "wW", 0x1B: "xX", 
    0x1C: "yY", 0x1D: "zZ", 0x1E: "1!", 0x1F: "2@", 0x20: "3#", 0x21: "4$", 
    0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(", 0x27: "0)", 
    0x2C: "  ", 0x2D: "-_", 0x2E: "=+", 0x2F: "[{", 0x30: "]}", 0x32: "#~", 
    0x33: ";:", 0x34: "'\"", 0x36: ",<", 0x37: ".>", 0x4f: ">", 0x50: "<" 
} 
 
 
def code2chr(filepath): 
    lines = [] 
    pos = 0 
    for x in open(filepath, "r").readlines(): 
        code = int(x[6:8], 16)  # 即第三個字節(jié) 
        if code == 0: 
            continue 
        # newline or down arrow - move down 
        if code == 0x51 or code == 0x28: 
            pos += 1 
            continue 
        # up arrow - move up 
        if code == 0x52: 
            pos -= 1 
            continue 
 
        # select the character based on the Shift key 
        while len(lines) <= pos: 
            lines.append("") 
        if code in range(4, 81): 
            if int(x[0:2], 16) == 2: 
                lines[pos] += usb_codes[code][1] 
            else: 
                lines[pos] += usb_codes[code][0] 
 
    for x in lines: 
        print(x) 
 
 
if __name__ == "__main__": 
    code2chr('E://CTF練習(xí)/雜項/18e4c103d4de4f07b33a42cb1f0eaa1d/00000122/usbdata.txt') 

當(dāng)然也可以直接使用王一航大佬的代碼，直接從pcap包提取出文件，省去了中間很多步驟，代碼也很通用。