淺談讀取USB鍵盤流量的隱藏數據技巧

0×00 預備

wireshark是一款可以用來抓取流量的工具，可以用它來分析流量，從中發現黑客所做的記錄和改動，對我們分析被攻擊情況和進行防禦有很大的幫助，usbkeyboard可以隱藏一些信息，通常，我們可以使用以上工具和方法從中發現一些隱藏信息。

0×01 數據準備

假設有一段流量，協議是usb，我用wiresharp打開這個包，可以看到裡面的欄位和內容：

可以看出內容主要是Leftover Capture Data，首先要對usb協議進行分析，右鍵選項，然後點擊應用為列，可以將該域的值在主面板上顯示，usbkeyborad的數據包數據長度為8個位元組，每兩位是一個位元組，而按鍵的數據都在第三個位元組處，就是00、01、02、03…11、12、13、14，鍵位和HEX數值之間的對應關係如下圖所示：

要提取出來這些數據以進行分析，就需要使用工具和腳本來對這些數據進行處理，以下是實現方法。

0×02 實現

首先，我們需要使用到wireshark里的工具tshark，這是wireshark工具的命令行程序，效率更高，如果是linux系統，則需要安裝tshark包，安裝完之後就執行tshark命令，如果是windows則直接安裝wireshark，裡面自帶了tshark程序，可以直接執行。然後執行：

"tshark.exe" -r usb.Pcap -T fields -e usb.capdata > usb.data

這樣，就生成了一個usb.data文件，這個文件就是tshark對usb.pcap流量包內數據的截取，其實就是個txt文檔，可以直接查看。

當我們用文本文檔打開查看的時候：

發現裡面的數據就是原來Leftover Capture Data列的數據，這列數據就是usb鍵盤鍵位的代碼，可以對這列數據進行處理，過濾掉無用的流量，保留與鍵位有關的流量，也就是第三個位元組的數據，精簡一下。

將以上python腳本保存為一個文件，然後執行：

打開這個txt文件，發現裡面有一段由數字組成的欄位，很長，這就是我們需要的數據：

將這段欄位拷貝出來，然後扔到010editor當中：

發現這段欄位很像一種文件格式，就是zip壓縮包格式，因為它的開頭是504B,也就是PK，而PK這個文件頭就是壓縮包的頭，所以我們可以把這段欄位保存為zip壓縮包格式：

保存之後，就直接打開這個壓縮包，看到裡面有個文件，叫flag.txt：

再點擊打開，發現沒有密碼，直接就打開了，裡面是隱藏的數據。

0×03 END

有時候不僅僅是在鍵位編碼當中，也可能在usb滑鼠坐標里，也是需要先用tshark抽取滑鼠坐標數據信息，再運用python強大的作圖功能對坐標數據進行繪製，以得到圖形化隱藏數據。

*本文作者：ohhatmy，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！