当前位置: 首页 > news >正文

电子取证新视角:USB键盘流量提取密码方法研究与实现

0x01 引言

在当今数字化时代,USB设备的广泛使用使得信息安全和电子取证领域面临着新的挑战与机遇。特别是USB键盘,作为一种常见的输入设备,其流量中可能包含用户输入的敏感信息,如密码和其他私人数据。因此,研究USB键盘流量提取密码的方法,不仅具有重要的学术意义,更在实际的取证工作中具有重要的应用价值。

首先,USB键盘通过USB接口与计算机连接,可以实时传输用户的输入信息。每当用户在键盘上输入字符时,这些信息都会以数字信号的形式被传输到计算机。通过捕获这些USB流量,我们可以重构用户的输入数据,进而提取出密码等敏感信息。

在具体实现过程中,我们可以使用如wireshark、tcpdump等工具采集USB流量。通过对捕获数据进行解析,我们可以提取出每个输入的字符,形成用户的输入记录。结合时间戳和上下文信息,可以准确还原用户在特定时刻所输入的密码。这一过程涉及到数据包的捕获、解码和分析,要求具备一定的计算机网络和数据处理能力。

然而,在进行USB键盘流量提取时,也需注意法律和伦理问题。电子取证工作必须在合法的范围内进行,确保不侵犯用户隐私。相关的提取和分析工作应当遵循相应的法规和政策,以确保取证过程的合法性和有效性。

0x02 实现过程

基础知识

USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。其中键盘击键信息集中在第三个字节中。

键位映射关系参考:《USB键盘协议中键码》中的HID Usage ID

如图,发现击键信息为0x06,即对应的按键为C

CTF题型

安全评测人员在对某银行卡密码输入系统进行渗透测试,截获了一段通过USB键盘输入6位数字密码的流量,其中也包含了一些其他无关的USB设备的流量,你能从中恢复出6位数字密码吗?最终提交的flag格式为flag。

使用kali的tshark命令把cap data提取出来:

tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt
tshark -r usb.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt #提取并去除空行

提取出来的数据可能会带冒号,也可能不带(有可能和wireshark的版本相关),但是一般的脚本都会按照有冒号的数据来识别

有冒号时提取数据的[6:8]
无冒号时数据在[4:6]

可以用脚本来加上冒号

# -*- coding: utf-8 -*-
f=open('usbdata.txt','r')
fi=open('out.txt','w')
while 1:a=f.readline().strip()if a:if len(a)==16: # 鼠标流量的话len改为8out=''for i in range(0,len(a),2):if i+2 != len(a):out+=a[i]+a[i+1]+":"else:out+=a[i]+a[i+1]fi.write(out)fi.write('\n')else:breakfi.close()

再用一个python脚本来提取鼠标移动坐标:

mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"\\", 0x32:"~", 0x33:";",  0x34:"'", 0x36:",",  0x37:"." }nums = []
keys = open('out.txt')
for line in keys:if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':continuenums.append(int(line[6:8],16))keys.close()output = ""
for n in nums:if n == 0 :continueif n in mappings:output += mappings[n]else:output += '[unknown]'print 'output :\n' + output

BCFGIJGFEDCABACFEDCA7200[DEL]53[DEL]93
因为[DEL]是删除键,恢复出6位数字。所以flag: 720593

0x03 小结

本次总结了USB流量包的流量分析,对键盘流量有了简单的了解。

参考文章:

CTF流量分析常见题型(二)-USB流量_ctf usb流量分析-CSDN博客


http://www.mrgr.cn/news/48184.html

相关文章:

  • UI自动化-八大元素定位方法
  • 深入探索 ClickHouse:性能优化之道
  • 【一文了解】C#重点-委托1
  • 在技术文档中多使用各种图
  • sentinel学习笔记5-资源指标数据统计
  • 基础电路的学习
  • 【编程进阶知识】掌握Java线程高效管理:节省资源与提升性能的十大技巧
  • c#代码介绍23种设计模式_23备忘录模式
  • Rstudio 绘制elecdaily的时序图与预测
  • Chrome清除nslookup解析记录 - 强制http访问 - 如何禁止chrome 强制跳转https
  • 【WebGIS】Cesium:快速创建三维地图
  • R语言:ERGM指数随机图模型
  • 学习记录:js算法(六十一):添加与搜索单词 - 数据结构设计
  • 02.07.-链表相交
  • 深入理解Transformer的笔记记录(精简版本)---- ELMO->GPT->BERT
  • VS Code最新版本Retome远程ssh不兼容旧服务器问题
  • 10.11 QT数据库实现学生信息的增、删、改、查
  • Android blueprint/microfactory/microfactory.bash源码分析
  • ajax请求
  • 基于SpringBoot+Vue+MySQL的留守儿童爱心网站
  • 解锁机器人视觉与人工智能的潜力,从“盲人机器”改造成有视觉能力的机器人(下)
  • java医院后台管理系统设计与实现源码(springboot+vue+mysql)
  • 消息中间件介绍
  • 如何快速保存微信公众号文章中的图片
  • 【JVM】JMM
  • 介绍Java