USB是 UniversalSerial Bus(通用串行總線)的縮寫，是一個外部總線標準，用于規范電腦與外部設備的連接和通訊，例如鍵盤、鼠標、打印機、磁盤或網絡適配器等等。通過對該接口流量的監聽，我們可以得到鍵盤的擊鍵記錄、鼠標的移動軌跡、磁盤的傳輸內容等一系列信息。

在Linux中，可以使用lsusb命令，如圖所示：

我們這里主要演示USB的鼠標流量和鍵盤流量。Linux下的分析已經比較多了，下面的環境均在Windows下進行。

一、鼠標流量

1.1 特點分析

USB鼠標流量的規則如下所示：

1.2 使用Wireshark捕獲和分析

要想使用Wireshark進行捕獲，需要在安裝時勾選上usbpcap工具選項，這樣你的Wireshark中會有一個usb接口的選項，點擊就可以進行抓包了。

下圖是我點擊鼠標左鍵在屏幕上畫圓圈的流量：

有的鼠標可能協議不是很標準，會導致分析不了。

Wireshark中捕獲的USB流量集中在Leftover Capture Data模塊，我們可以使用tshark工具來進行提取。在Windows中安裝tshark.exe的目錄中輸入：

tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //這里b.pcap是我抓捕的數據包名字，b.txt是把提取的數據輸入到b.txt中

查看b.txt的內容會發現，因為有的數據包無用所以出現了很多空行，在進行下一步之前，我們需要把空行去掉。

把空行去掉之后，根據鼠標流量的規則繪制像素坐標，最后通過畫圖工具(如matlab或者python的matplotlib進行繪制圖像即可)。

了解原理之后，為了方便，可以直接使用王一航大佬的工具進行提取，輸入：

python UsbMiceDataHacker.py b.pcap LEFT //其中b.pcap是我抓捕的數據包的名字 

運行之后就可以看到畫面：

需要注意的是這個工具必須在python2環境下，同時保證安裝了matplotlib和numpy。

二、鍵盤流量

2.1 特點分析

鍵盤數據包的數據長度為8個字節，擊鍵信息集中在第3個字節，每次擊鍵都會產生一個數據包。所以如果看到給出的數據包中的信息都是8個字節，并且只有第3個字節不為0000，那么幾乎可以肯定是一個鍵盤流量了。

在USB協議的 文檔中搜索 keyboard。就可以找到擊鍵信息和數據包中16進制數據的對照表：

2.2 使用Wireshark捕獲和分析

捕獲的步驟與上面相似。下面以XCTF的高校戰疫比賽中的一道例題(ez_mem&usb)來說明。

最后一步我們得到一個壓縮包，通過密碼進行解壓后，得到一個鍵盤流量的文本文件：

根據鍵盤流量的特點，我們可以很容易判斷出。

對照解碼表使用代碼進行提取即可，這里貼出代碼：

# coding:utf-8 
import sys 
import os 
 
usb_codes = { 
    0x04: "aA", 0x05: "bB", 0x06: "cC", 0x07: "dD", 0x08: "eE", 0x09: "fF", 
    0x0A: "gG", 0x0B: "hH", 0x0C: "iI", 0x0D: "jJ", 0x0E: "kK", 0x0F: "lL", 
    0x10: "mM", 0x11: "nN", 0x12: "oO", 0x13: "pP", 0x14: "qQ", 0x15: "rR", 
    0x16: "sS", 0x17: "tT", 0x18: "uU", 0x19: "vV", 0x1A: "wW", 0x1B: "xX", 
    0x1C: "yY", 0x1D: "zZ", 0x1E: "1!", 0x1F: "2@", 0x20: "3#", 0x21: "4$", 
    0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(", 0x27: "0)", 
    0x2C: "  ", 0x2D: "-_", 0x2E: "=+", 0x2F: "[{", 0x30: "]}", 0x32: "#~", 
    0x33: ";:", 0x34: "'\"", 0x36: ",<", 0x37: ".>", 0x4f: ">", 0x50: "<" 
} 
 
 
def code2chr(filepath): 
    lines = [] 
    pos = 0 
    for x in open(filepath, "r").readlines(): 
        code = int(x[6:8], 16)  # 即第三個字節 
        if code == 0: 
            continue 
        # newline or down arrow - move down 
        if code == 0x51 or code == 0x28: 
            pos += 1 
            continue 
        # up arrow - move up 
        if code == 0x52: 
            pos -= 1 
            continue 
 
        # select the character based on the Shift key 
        while len(lines) <= pos: 
            lines.append("") 
        if code in range(4, 81): 
            if int(x[0:2], 16) == 2: 
                lines[pos] += usb_codes[code][1] 
            else: 
                lines[pos] += usb_codes[code][0] 
 
    for x in lines: 
        print(x) 
 
 
if __name__ == "__main__": 
    code2chr('E://CTF練習/雜項/18e4c103d4de4f07b33a42cb1f0eaa1d/00000122/usbdata.txt') 

當然也可以直接使用王一航大佬的代碼，直接從pcap包提取出文件，省去了中間很多步驟，代碼也很通用。