【CTF】USB流量分析详解

最新推荐文章于 2026-03-01 07:22:42 发布
原创 最新推荐文章于 2026-03-01 07:22:42 发布 · 1.2k 阅读 · 6
标签
#流量分析 #CTF

流量分析-USB流量

原理概述

USB流量即USB设备接口的流量,CTF中主要以键盘鼠标流量为主.

流量数据域特征

USB协议数据字段在Leftover Capture Data域中,数据长度为八个字节,主要看第三个字节的值,将它与按键值相对以得出按键内容。

在这里插入图片描述

解题步骤

协议筛选

usb.capdata–Leftover Capture Data

usbhid.data–Hide Data

tshark提取

//到wireshark的路径下
.\tshark.exe -r D:\Downloads\usb.pcap -T fields -e usb.capdata >D:\Downloads\usbdata.txt
.\tshark.exe -r D:\Downloads\usb.pcap -T fields -e usbhid.data >D:\Downloads\usbdata.txt
-r 指定tshark的分析文件
-T 输出的格式,ek|fields|json|jsonraw|pdml|ps|psml|tabs|text 
-T -e 结合打印出指定的规则(过滤)字段usbhid.data, fields 要配合 -e 参数使用
-e 导出的协议字段

键盘数据分析

键盘数据会出现在Leftover Capture Data或者HID Data中,数据长度为8个字节,主要关注第3个字节, 每次键盘操作后都会产生一个数据包。
直接上脚本

def check_charset(file_path):
  import chardet
  with open(file_path, "rb") as f:
    data = f.read(4)
    charset = chardet.detect(data)['encoding']
  return charset


with open('usbhid.txt', 'r', encoding=check_charset('usbhid.txt')) as f:
    with open('out.txt', 'w') as fi:
        for line in f:
            a = line.strip()
            if a and len(a) == 16:
                out = ':'.join(a[i:i+2] for i in range(0, len(a), 2))
                fi.write(out + '\n')

#最后用脚本提取
   # print((line[6:8])) #输出6到8之间的值
   #取出6到8之间的值

normalKeys = {
   
   "04": "a", "05": "b", "06": "c", "07": "d", "08": "e", "09": "f", "0a": "g", "0b": "h", "0c": "i",
              "0d": "j", "0e": "k", "0f": "l", "10": "m", "11": "n", "12": "o", "13": "p", "14": "q", "15": "r",
              "16": "s", "17": "t", "18": "u", "19": "v", "1a": "w", "1
最低0.47元/天 解锁文章
CTF——流量分析题型整理总结
小锤队长的博客
12-19 5万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
USB流量分析
M3ng@L的博客
01-18 3390
USB流量分析 鼠标流量 鼠标的流量包有三个字节是有用的,从左到右依次代表着按键,水平方向位移,垂直方向位移 注意这里是代表着位移,而之后在gnuplot工具中描绘出鼠标轨迹需要知道坐标,那么位移值(单位是像素)应该依次相加;而按键分为没有操作,左按键,右按键,分别对应0x00,0x01,0x02 一般鼠标流量是4个字节,也就是32bits,那么上面提到的有用字节应该分别是第1,2,3字节 也有可能是8字节的,那么有用的字节应该分别是第1,3,5字节 也有可能是其他字节长度的,这里就不一一举例了 关于流量
CTF流量分析常见题型(二)-USB流量
热门推荐
qwzf
08-01 2万+
0x00 前言 在学习Wireshark常见使用时,对常见CTF流量分析题型和铁人三项流量分析题的部分问题进行了简单总结。由于篇幅过长,于是另起一篇总结常见流量包分析。包括USB流量包分析和一些其他流量包分析。 0x01 USB流量包分析 USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中,USB流量分析主要以键盘和鼠标流量为主。 1、键盘流量 USB协议数据部分在Leftover Capt
流量分析USB键盘与鼠标流量分析
自知.的博客
05-06 1万+
USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘和鼠标流量为主。 下面通过简单的讲解与例题的展示,分析键盘流量与鼠标流量。
USB(键盘)流量分析
BvxiE的博客
07-17 4051
hws2023的一道misc,没接触过,写一份博客,稍微带一点鼠标流量,自己做题收获,可能在某些情况仅适用本题。
深入解析CTF中的USB流量分析:解锁网络安全竞赛的秘密
gitblog_06526的博客
10-31 507
深入解析CTF中的USB流量分析:解锁网络安全竞赛的秘密 【下载地址】CTF流量分析常见题型二-USB流量分享 本资源文件提供了关于CTF(Capture The Flag)比赛中常见的流量分析题型,特别是USB流量分析的详细介绍。USB流量分析CTF比赛中常见的题型之一,主要涉及键盘和鼠标流量的分析。通过本资源,您将...
CTF流量分析进阶技巧:USB键盘与鼠标流量的实战解析
最新发布
yy01234的博客
03-01 925
本文深入解析CTF比赛中USB流量分析的核心技巧,重点剖析键盘与鼠标流量的实战解析方法。通过详解数据包结构、键码映射、坐标计算及可视化绘图,提供从数据提取到flag还原的完整工具链与脚本,帮助选手快速掌握这一高效得分点,并应对混合流量等进阶挑战。
USB流量分析总结(实战[NISACTF 2022] 破损的flag)
晓梦林的博客
03-07 1663
由于不同鼠标使用的鼠标协议是不同的,每个数据包的数据区可能是4字节、6字节或者8字节。为正(小于127)是向右移动多少像素,为负(负数补码,大于127小于255)是向左移动多少像素。为正(小于127)是向上移动多少像素,为负(负数补码,大于127小于255)是向下移动多少像素。当数据区是6个字节时,第一个字节表示按键指示左右键, 第二个字节表示水平位移,第三个字节表示垂直位移。数据区若是8个字节时,第一个字节表示按键指示左右键,第三个字节表示水平位移,第五个字节表示垂直位移。所以,根据映射关系,可以写出。
misc——流量分析usb(2)
2301_81864699的博客
06-19 1577
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键跑脚本(先将每个字节以冒号分割,方便提取)
CTF入门Misc之流量分析系列——USB流量
xcellencw的博客
02-23 1582
声明:为了方便查找题目类型和基本做题思路,所以本人作文章为笔记,必然有不足之处,请指正。USB流量分析主要包括键盘和鼠标流量。。键盘流量中数据包的数据长度一般为 8 个字节,鼠标流量中数据包的数据长度一般为 4个字节。然后再查看HID Data(或Leftover Capture Data)的数据,就是传输的USB信息。
杂项——USB键盘与鼠标流量分析——BUUCTF——流量分析
2301_80905479的博客
11-02 2197
GET DESCRIPTOR 和 URB_INTERRUPT in 都属于 USB 数据传输方式,但它们的用途不同,GET DESCRIPTOR 用于获取设备信息,而 URB_INTERRUPT in 用于实时地获取设备数据。端点描述符(Endpoint Descriptor):用于描述USB设备的端点信息,包括端点地址、端点类型、端点方向、最大包大小等信息。设备描述符(Device Descriptor):用于描述 USB 设备的基本属性,如设备厂商 ID、设备产品 ID、设备类别等。
USB 流量分析:技巧、步骤与实战
m0_57836225的博客
12-06 1700
通过这个案例,我们可以看到 USB 流量分析CTF 比赛中的重要性。在实际分析过程中,需要熟练掌握 USB 协议知识、分析工具的使用技巧,以及数据提取和还原的方法。同时,对于复杂的流量情况,可能需要进一步深入研究协议细节,结合多种分析手段才能找到隐藏的信息。
2020天津市ctf大赛之usb数据包流量分析
weixin_44145452的博客
10-05 5022
1.鼠标流量分析 1.常用命令 tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt 如果提取出来的数据有空行,可以将命令改为如下形式: tshark -r usb2.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt 如果提取出来的数据没有冒号,可以用脚本来加上冒号(因为一般的脚本都会按照有冒号的数据来识别,有冒号时提取数据的[6:8],“无冒号时数据在[5:
USB HID 流量分析详解
p0ise's blog
04-14 6048
USB HID(Human Interface Device),中文译为人机接口设备,是一种允许人与计算机交互的接口的设备,主要用于连接各种人机界面设备,如键盘、鼠标、游戏手柄、数字仪表、触摸屏等。USB HID 设备与计算机通信使用的是 USB HID 协议,这个协议规定了 USB HID 设备与主机之间的通信协议和数据格式。本文将对 USB HID 协议进行简单的介绍,演示如何用 Wireshark 捕获、过滤 USB 流量,重点对鼠标、键盘流量进行分析,利用 Python 脚本解析流量,从中还原出
记一道USB流量分析CTF
qq_36609913的博客
11-19 1万+
USB流量分析
记一次CTFUSB流量分析
fjh1997的博客
04-29 8025
最近在研究鼠标流量,找到如下的文章: https://www.cnblogs.com/hackxf/p/10670844.html 根据这个师傅的说法,不同的鼠标抓到的流量不一样,一般的鼠标流量是四个字节,第一个字节表示按键指示左键右键,第二个字节表示水平位移,为正(小于127)是向右移动,为负(补码负数,大于127小于255)是向左移动。第三个字节表示垂直位移,为正(小于127)是向上移动,为负...
ctf流量分析练习二
gclome的博客
09-06 4241
上次的流量分析做的我一个脑袋两个大!但是不能放弃啊,再找一些题来练练手 0x01 经典题型 CTF题型主要分为流量包修复、WEB流量包分析、USB流量包分析和其他流量包分析。 01 流量包修复 比赛过程中有可能会出现通过wireshark打开题目给的流量包后提示包异常的情况,如下图所示: 解题思路: 通过在线pacp包修复工具进行修复: http://f00l.de/hacking/pcapfix.php 修复之后,再次打开 用tcp contains “flag”,找到了下面这句话: 于是乎,flag就在
CTF通过Wireshark对USB流量取证分析题
Mark的博客
11-19 9911
流程: 1、先过滤保存flag部分 通过usb.src =="1.3.1"过滤 然后文件导出特定分组得到具体的流量包 2、进行提取Data块(有点艰难) A:在winshark中提取不带冒号的4个字节 ./tshark -r 6.pcapng -T fields -e usb.capdata > out.txt B:可以利用脚本在每两个字节中加上冒号也可以像我用excel(万年office老手)利用数据中的分列分取出四个字节然后用&加冒号连接起来,最后利用ctrl+shift+Enter+↓
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值