bugku USB 流量截取

url:https://ctf.bugku.com/challenges/detail/id/2416.html

writeup: https://blog.csdn.net/qq_26961571/article/details/136021514?spm=1001.2014.3001.5501

这个题太恶心了，不过至少知道  leftover capture data 是用于存储 

Leftover Capture Data在Wireshark中的作用是存储未被其他协议解析器识别或处理的数据包内容。‌ 这是Wireshark在分析网络数据包时，将那些不符合常见协议规范或未被其他解析器识别的一部分数据存储的地方。这些数据通常包含了原始的、未被解析的数据包内容，可能包括一些特殊的、非标准的或者实验性的协议数据‌12。

具体来说，Leftover Capture Data模块主要用于存储USB设备（如鼠标、键盘等）的命令指令和数据。当Wireshark捕获到USB流量时，这些流量中的数据包内容可能会被存储在Leftover Capture Data中，特别是那些不符合标准协议规范的数据包。通过使用tshark工具，可以将这些数据提取出来进行进一步分析‌12。

例如，在使用Wireshark分析USB流量时，可能会发现键盘和鼠标的数据包被存储在Leftover Capture Data中。通过tshark工具，可以将这些数据提取出来，进一步分析其中的击键信息和设备命令。这对于安全分析和故障诊断非常有帮助，尤其是在需要分析未知或非标准协议数据时‌

后面兼职无法继续，感觉想吐