如何讀取USB鍵盤流量的隱藏數據

小編給大家分享一下如何讀取USB鍵盤流量的隱藏數據，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

0×00 預備

wireshark是一款可以用來抓取流量的工具，可以用它來分析流量，從中發現黑客所做的記錄和改動，對我們分析被攻擊情況和進行防御有很大的幫助，usbkeyboard可以隱藏一些信息，通常，我們可以使用以上工具和方法從中發現一些隱藏信息。

0×01 數據準備

假設有一段流量，協議是usb，我用wiresharp打開這個包，可以看到里面的字段和內容：

可以看出內容主要是Leftover Capture Data，首先要對usb協議進行分析，右鍵選項，然后點擊應用為列，可以將該域的值在主面板上顯示，usbkeyborad的數據包數據長度為8個字節，每兩位是一個字節，而按鍵的數據都在第三個字節處，就是00、01、02、03...11、12、13、14，鍵位和HEX數值之間的對應關系如下圖所示：

要提取出來這些數據以進行分析，就需要使用工具和腳本來對這些數據進行處理，以下是實現方法。

0×02 實現

首先，我們需要使用到wireshark里的工具tshark，這是wireshark工具的命令行程序，效率更高，如果是linux系統，則需要安裝tshark包，安裝完之后就執行tshark命令，如果是windows則直接安裝wireshark，里面自帶了tshark程序，可以直接執行。然后執行：

"tshark.exe" -r usb.Pcap -T fields -e usb.capdata > usb.data

這樣，就生成了一個usb.data文件，這個文件就是tshark對usb.pcap流量包內數據的截取，其實就是個txt文檔，可以直接查看。

當我們用文本文檔打開查看的時候：

發現里面的數據就是原來Leftover Capture Data列的數據，這列數據就是usb鍵盤鍵位的代碼，可以對這列數據進行處理，過濾掉無用的流量，保留與鍵位有關的流量，也就是第三個字節的數據，精簡一下。

將以上python腳本保存為一個文件，然后執行：

打開這個txt文件，發現里面有一段由數字組成的字段，很長，這就是我們需要的數據：

將這段字段拷貝出來，然后扔到010editor當中：

發現這段字段很像一種文件格式，就是zip壓縮包格式，因為它的開頭是504B,也就是PK，而PK這個文件頭就是壓縮包的頭，所以我們可以把這段字段保存為zip壓縮包格式：

保存之后，就直接打開這個壓縮包，看到里面有個文件，叫flag.txt：

再點擊打開，發現沒有密碼，直接就打開了，里面是隱藏的數據。

0×03 END

有時候不僅僅是在鍵位編碼當中，也可能在usb鼠標坐標里，也是需要先用tshark抽取鼠標坐標數據信息，再運用python強大的作圖功能對坐標數據進行繪制，以得到圖形化隱藏數據。

以上是“如何讀取USB鍵盤流量的隱藏數據”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！