一、基本原理
通抓抓包分析可以得到:USB键盘的流量数据包的数据长度为8个字节,击键信息集中在第3个字节
那么如果遇到键盘流量分析时我们只需要关注第3个字节就可以了,再对照键位对照表就即可得出想要的数据了;
对照表(在pdf附件内53页)
二、例题和技巧
例题一(键盘.pcapng):
使用wireshark打开后,发现全部为USB的流量,往下看后发现在第3字节有数据,而且是隔着有的,就确定了为USB键盘流量题,根据抓包出来的结果可以使用usb.data_len==8进行过滤,可过滤掉一些不要的数据。
即可使用对照表即可得出每个数据的对于键盘值:结果为:c3ting
但是在输入多个键位时,时间上来不急这样慢慢的一个个分析,我们可以导出数据结果后,使用python进行对比转换(在例题二中展示)
例题二(键盘2.pcapng):
同样的使用wireshark打开后,发现全部为USB的流量,往下看后发现在第3字节有数据,而且是隔着有的,就确定了为USB键盘流量题,根据抓包出来的结果可以使用usb.capdata!=000000000000000进行过滤;现在即可得到全部的键盘输入流量(无空值)
这个时候我们发现还是很多,这个时候我们就可以考虑使用脚本了
使用脚本之前我们得需要把这些数据全部调出来,可以使用wireshark带得tshark工具进行导出即可
tshark工具常用帮助
捕获接口: -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口; -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 -s: -s <snaplen> 设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认也是这个值; -p: 以非混合模式工作,即只关心和本机有关的流量。 -B: -B <buffer size> 设置缓冲区的大小,只对windows生效,默认是2M; -y: -y<link type> 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等; -D: 打印接口的列表并退出; -L 列出本机支持的数据链路层协议,供-y参数使用。 捕获停止选项: -c: -c <packet count> 捕获n个包之后结束,默认捕获无限个; -a: -a <autostop cond.> ... duration:NUM,在num秒之后停止捕获; filesize:NUM,在numKB之后停止捕获; files:NUM,在捕获num个文件之后停止捕获; 捕获输出选项: -b <ringbuffer opt.> ... ring buffer的文件名由-w参数决定,-b参数采用test:value的形式书写; duration:NUM - 在NUM秒之后切换到下一个文件; filesize:NUM - 在NUM KB之后切换到下一个文件; files:NUM - 形成环形缓冲,在NUM文件达到之后; RPCAP选项: remote packet capture protocol,远程抓包协议进行抓包; -A: -A <user>:<password>,使用RPCAP密码进行认证; 输入文件: -r: -r <infile> 设置读取本地文件 处理选项: -2: 执行两次分析 -R: -R <read filter>,包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。 -Y: -Y <display filter>,使用读取过滤器的语法,在单次分析中可以代替-R选项; -n: 禁止所有地址名字解析(默认为允许所有) -N: 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。 -d: 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。 输出选项: -w: -w <outfile|-> 设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout,“-w -”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。 -F: -F <output file type>,设置输出的文件格式,默认是.pcapng,使用tshark -F可列出所有支持的输出文件类型。 -V: 增加细节输出; -O: -O <protocols>,只显示此选项指定的协议的详细信息。 -P: 即使将解码结果写入文件中,也打印包的概要信息; -S: -S <separator> 行分割符 -x: 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据。 -T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text -e: 如果-T fields选项指定,-e用来指定输出哪些字段; -E: -E <fieldsoption>=<value>如果-T fields选项指定,使用-E来设置一些属性,比如 header=y|n separator=/t|/s|<char> occurrence=f|l|a aggregator=,|/s|<char> -t: -t a|ad|d|dd|e|r|u|ud 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。 -u: s|hms 格式化输出秒; -l: 在输出每个包之后flush标准输出 -q: 结合-z选项进行使用,来进行统计分析; -X: <key>:<value> 扩展项,lua_script、read_format,具体参见 man pages; -z:统计选项,具体的参考文档;tshark -z help,可以列出,-z选项支持的统计方式。 其他选项: -h: 显示命令行帮助; -v: 显示tshark 的版本信息;
把流量包放到软件之下后,使用
tshark.exe -r 1.pcapng -2 -R "usb.capdata!=0000000000000000" -T fields -e usb.capdata >usbdata.txt
即可得到usbdata.txt文件
拿到数据之后使用python直接分析即可得到全部数据
python脚本(键盘)
mappings = { 0x04:"a", 0x05:"b", 0x06:"c", 0x07:"d", 0x08:"e", 0x09:"f", 0x0A:"g", 0x0B:"h", 0x0C:"i", 0x0D:"j", 0x0E:"k", 0x0F:"l", 0x10:"m", 0x11:"n",0x12:"o", 0x13:"p", 0x14:"q", 0x15:"r", 0x16:"s", 0x17:"t", 0x18:"u",0x19:"v", 0x1A:"w", 0x1B:"x", 0x1C:"y", 0x1D:"z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5", 0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"n", 0x2a:"[DEL]", 0X2B:" ", 0x2C:" ", 0x2D:"-", 0x2E:"=", 0x2F:"[", 0x30:"]", 0x31:"\\", 0x32:"~", 0x33:";", 0x34:"'", 0x36:",", 0x37:"." }
nums = []
keys = open('usbdata.txt')
for line in keys:
if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[6]!='0' or line[7]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0':
continue
nums.append(int(line[4:6],16))
keys.close()
output = ""
for n in nums:
if n == 0 :
continue
if n in mappings:
output += mappings[n]
else:
output += '[unknown]'
print('output :' + output)
运行后就可拿到全部输入得数据,根据输入数据可知最后删除了3个字符,我们在原来
inhasomcdf的基础上删除3个字符即可得到inhasom