专栏首页FreeBuf如何用Wireshark捕获USB数据?

如何用Wireshark捕获USB数据?

现在越来越多的电子设备采用USB接口进行通讯,通讯标准也在逐步提高。那么,我们就会好奇这些设备是如何工作的?而无论你是一个硬件黑客,业余爱好者或者只是对它有一点兴趣的,USB对我们都是具有挑战性的。

事实上通过wireshark,我们可以捕获到usb设备发送给我们主机的数据,这样就可以进一步研究了。

本文中,我们将向大家介绍怎样通过wireshark捕获usb数据,使用的环境如下:

l Wireshark 2.0.1(SVN)l Linux kernel 4.1.6

你也可以用其他版本的wireshark,只要是1.2.0以上的都行。这里并没有测试window上能不能行。

简介

在开始前,我们先介绍一些USB的基础知识。USB有不同的规格,以下是使用USB的三种方式:

l USB UART l USB HID l USB Memory

UART或者Universal Asynchronous Receiver/Transmitter。这种方式下,设备只是简单的将USB用于接受和发射数据,除此之外就再没有其他通讯功能了。

HID是人性化的接口。这一类通讯适用于交互式,有这种功能的设备有:键盘,鼠标,游戏手柄和数字显示设备。

最后是USB Memory,或者说是数据存储。External HDD, thumb drive / flash drive,等都是这一类的。

其中使用的最广的不是USB HID 就是USB Memory了。

每一个USB设备(尤其是HID或者Memory)都有一个供应商ID(Vendor Id)和产品识别码(Product Id)。Vendor Id是用来标记哪个厂商生产了这个USB设备。Product Id用来标记不同的产品,他并不是一个特殊的数字,当然最好不同。如下图:

上图是连接在我电脑上的USB设备列表,通过lsusb查看命令。

例如说,我有一个无线鼠标Logitech。它是属于HID设备。这个设备正常的运行,并且通过lsusb这个命令查看所有usb设备,现在大家能找出哪一条是这个鼠标吗??没有错,就是第四个,就是下面这条:

Bus 003 Device 010: ID 046d:c52f Logitech, Inc. Unifying Receiver

其中,ID 046d:c52f就是Vendor-Product Id对,Vendor Id的值是046d,并且Product Id的值是c52f。Bus 003 Device 010代表usb设备正常连接,这点需要记下来。

准备

我们用root权限运行Wireshark捕获USB数据流。但是通常来说我们不建议这么做。我们需要给用户足够的权限来获取linux中的usb数据流。我们可以用udev来达到我们的目的。我们需要创建一个用户组usbmon,然后把我们的账户添加到这个组中。

addgroup usbmon gpasswd -a $USER usbmonecho 'SUBSYSTEM=="usbmon", GROUP="usbmon", MODE="640"' > /etc/udev/rules.d/99-usbmon.rules

接下来,我们需要usbmon内核模块。如果该模块没有被加载,我们可以通过以下命令家在该模块:

modprobe usbmon

捕获

打开wireshark,你会看到usbmonX其中X代表数字。下图是我们本次的结果(我使用的是root):

如果接口处于活跃状态或者有数据流经过的时候,wireshark的界面就会把它以波形图的方式显示出来。那么,我们该选那个呢?没有错,就是我刚刚让大家记下来的,这个X的数字就是对应这USB Bus。在本文中是usbmon3。打开他就可以观察数据包了。

最后

那么我们获取到了这些有什么用呢?通过这些,我们可以了解到usb设备与主机之间的通信过程和工作原理,也许我们就可以把这些知识用到逆向工程中,得到一些东西。好了,就到这里!!!

‍‍*参考来源:Xathrya.id,FB小编老王隔壁的白帽子翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-02-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如果你的 ElasticSearch服务器,也没有设置密码,也没有备份。那么请交出你的 BTC 吧~~

    上周发起了多起针对 MongoDB 的攻击事件,详情可以见我的另外一篇文章。由于使用 MongoDB 的人数量众多,一下子就引起敢关注,因此黑客们将目标转移向了...

    Phodal
  • 给孩子挑礼物需谨慎:一个可爱的玩具可能把黑客带到你家

    “用指尖改变世界” ? My Friend Cayla是一款长发及腰的智能洋娃娃,由美国玩具公司Genesis Toys生产。它可以与孩子们进行对话,并能够记住...

    企鹅号小编
  • 准备好迎接加密货币犯罪活动密集的2018年

    关注“科技金融在线”,了解第一手信息。 2018年是加密货币黑客的一年。 最近比特币突破19,000美元水平(尽管周五出现暴跌),以太币、莱特币、瑞波币等加密货...

    企鹅号小编
  • 12月机器学习TOP 10文章,错过的快补课

    翻译 | AI科技大本营 编辑 |Donna Medium上的机器学习深度爱好者必关注的账号Mybridge照例对11月发表的学术论文进行了排名,整理出了10篇...

    企鹅号小编
  • 电信诈骗吃掉大学生,年轻生命冤不冤?

    本文作者:安全平台部 chloehua(华珊珊)2015年入职腾讯,从事互联网安全工作,投身挖掘互联网黑色产业,探寻网络安全世界的风云变幻。 今年9月1日即将踏...

    腾讯技术工程官方号
  • 你的智能设备真的安全吗?

    作者介绍:《漏洞战争:软件漏洞分析精要》作者,2011年毕业于福建中医药大学中西医骨伤专业,在腾讯安全平台部主要从事安全应急响应工作,涉及终端安全、Web安全、...

    腾讯技术工程官方号
  • 赛门铁克:更多的网站被黑客挂上挖矿脚本!

    近年来,随着加密货币的价格被不断炒高,黑客们也动起了歪脑筋来获利。根据赛门铁克今日发布的一份报告,公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。 一旦运...

    企鹅号小编
  • 你的名字,互联网黑产瞄准的秘密…

    作者介绍:chloe,在鹅厂从事互联网安全工作,投身挖掘互联网黑色产业,探寻网络安全世界的风云变幻。 曾经听安全圈的前辈说过这么一句话:数据泄漏,是每一个互联网...

    腾讯技术工程官方号
  • 比特币存在的弊端,以特币全部解决了

    比特币自2009年发行以来,迅速火热起来,但是比特币的弊端也暴露无遗,而刚刚兴起的以特币却弥补了比特币的弊端。 1、比特币可能遭受黑客攻击。因为比特币的交易平台...

    企鹅号小编
  • 假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

    “用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券