0×00 預(yù)備

wireshark是一款可以用來抓取流量的工具，可以用它來分析流量，從中發(fā)現(xiàn)黑客所做的記錄和改動(dòng)，對我們分析被攻擊情況和進(jìn)行防御有很大的幫助，usbkeyboard可以隱藏一些信息，通常，我們可以使用以上工具和方法從中發(fā)現(xiàn)一些隱藏信息。

[[254502]]

0×01 數(shù)據(jù)準(zhǔn)備

假設(shè)有一段流量，協(xié)議是usb，我用wiresharp打開這個(gè)包，可以看到里面的字段和內(nèi)容：

可以看出內(nèi)容主要是Leftover Capture Data，首先要對usb協(xié)議進(jìn)行分析，右鍵選項(xiàng)，然后點(diǎn)擊應(yīng)用為列，可以將該域的值在主面板上顯示，usbkeyborad的數(shù)據(jù)包數(shù)據(jù)長度為8個(gè)字節(jié)，每兩位是一個(gè)字節(jié)，而按鍵的數(shù)據(jù)都在第三個(gè)字節(jié)處，就是00、01、02、03…11、12、13、14，鍵位和HEX數(shù)值之間的對應(yīng)關(guān)系如下圖所示：

要提取出來這些數(shù)據(jù)以進(jìn)行分析，就需要使用工具和腳本來對這些數(shù)據(jù)進(jìn)行處理，以下是實(shí)現(xiàn)方法。

0×02 實(shí)現(xiàn)

首先，我們需要使用到wireshark里的工具tshark，這是wireshark工具的命令行程序，效率更高，如果是linux系統(tǒng)，則需要安裝tshark包，安裝完之后就執(zhí)行tshark命令，如果是windows則直接安裝wireshark，里面自帶了tshark程序，可以直接執(zhí)行。然后執(zhí)行：

"tshark.exe" -r usb.Pcap -T fields -e usb.capdata > usb.data

這樣，就生成了一個(gè)usb.data文件，這個(gè)文件就是tshark對usb.pcap流量包內(nèi)數(shù)據(jù)的截取，其實(shí)就是個(gè)txt文檔，可以直接查看。

當(dāng)我們用文本文檔打開查看的時(shí)候：

發(fā)現(xiàn)里面的數(shù)據(jù)就是原來Leftover Capture Data列的數(shù)據(jù)，這列數(shù)據(jù)就是usb鍵盤鍵位的代碼，可以對這列數(shù)據(jù)進(jìn)行處理，過濾掉無用的流量，保留與鍵位有關(guān)的流量，也就是第三個(gè)字節(jié)的數(shù)據(jù)，精簡一下。

將以上python腳本保存為一個(gè)文件，然后執(zhí)行：

打開這個(gè)txt文件，發(fā)現(xiàn)里面有一段由數(shù)字組成的字段，很長，這就是我們需要的數(shù)據(jù)：

將這段字段拷貝出來，然后扔到010editor當(dāng)中：

發(fā)現(xiàn)這段字段很像一種文件格式，就是zip壓縮包格式，因?yàn)樗拈_頭是504B,也就是PK，而PK這個(gè)文件頭就是壓縮包的頭，所以我們可以把這段字段保存為zip壓縮包格式：

保存之后，就直接打開這個(gè)壓縮包，看到里面有個(gè)文件，叫flag.txt：

再點(diǎn)擊打開，發(fā)現(xiàn)沒有密碼，直接就打開了，里面是隱藏的數(shù)據(jù)。

0×03 END

有時(shí)候不僅僅是在鍵位編碼當(dāng)中，也可能在usb鼠標(biāo)坐標(biāo)里，也是需要先用tshark抽取鼠標(biāo)坐標(biāo)數(shù)據(jù)信息，再運(yùn)用python強(qiáng)大的作圖功能對坐標(biāo)數(shù)據(jù)進(jìn)行繪制，以得到圖形化隱藏?cái)?shù)據(jù)。