一、基本原理
通抓抓包分析可以得到:USB键盘的流量数据包的数据长度为8个字节
,击键信息集中在第3个字节
那么如果遇到键盘流量分析时我们只需要关注第3个字节就可以了,再对照键位对照表就即可得出想要的数据了;
对照表(在pdf附件内53页)
二、例题和技巧
例题一(键盘.pcapng):
使用wireshark打开后,发现全部为USB的流量,往下看后发现在第3字节有数据,而且是隔着有的,就确定了为USB键盘流量题,根据抓包出来的结果可以使用usb.data_len==8进行过滤,可过滤掉一些不要的数据。
即可使用对照表即可得出每个数据的对于键盘值:结果为:c3ting
但是在输入多个键位时,时间上来不急这样慢慢的一个个分析,我们可以导出数据结果后,使用python进行对比转换(在例题二中展示)
例题二(键盘2.pcapng):
同样的使用wireshark打开后,发现全部为USB的流量,往下看后发现在第3字节有数据,而且是隔着有的,就确定了为USB键盘流量题,根据抓包出来的结果可以使用usb.capdata!=000000000000000进行过滤;现在即可得到全部的键盘输入流量(无空值)
这个时候我们发现还是很多,这个时候我们就可以考虑使用脚本了
使用脚本之前我们得需要把这些数据全部调出来,可以使用wireshark带得tshark工具进行导出即可
tshark工具常用帮助
把流量包放到软件之下后,使用
即可得到usbdata.txt文件
拿到数据之后使用python直接分析即可得到全部数据
python脚本(键盘)
运行后就可拿到全部输入得数据,根据输入数据可知最后删除了3个字符,我们在原来
inhasomcdf
的基础上删除3个字符即可得到inhasom
评论