目录
CTF中usb流量分析以键盘和鼠标为主
键盘
usb协议数据部分数据长度为8个字节,其中击键信息集中在第三个字节
思路:在Linux中使用tshark命令把cap data提取出来,根据《usb键盘协议中键码》中的HID Usage ID将数据还原为键
跑脚本(先将每个字节以冒号分割,方便提取)
鼠标
USB协议鼠标数据部分在Leftover Capture Data域中,数据长度为四个字节。其中第一个字节代表按键,当取0x00时代表没有按键、为0x01时,代表按左键,为0x02时代表当前按键为右键。第二个字节可以看成是一个signed byte类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素,第三个字节与第二字节类似,代表垂直上下移动的偏移
首先提取流量
再利用脚本变化成图像
当然Gnuplot也可以坐标转换成图像
具体脚本参考:https://blog.csdn.net/qq_43625917/article/details/107723635
标签:代表,鼠标,misc,流量,键盘,按键,字节,usb From: https://blog.csdn.net/2301_81864699/article/details/139814121