usb介面是目前最為通用的外設介面之一,通過監聽該介面的流量,可以得到很多有意思的東西,例如鍵盤擊鍵,滑鼠移動與點選,儲存裝置的明文傳輸通訊、usb無線網絡卡網路傳輸內容等。usb流量的捕獲可以使用wireshark自帶的工具usbpcap來進行
安裝wirshark時勾選上安裝usbpcap即可
抓包
滑鼠移動的軌跡,右鍵,左鍵的行為都能捕捉到
(這裡有個坑,有的滑鼠可能協議不標準、抓到的資料分析不了)
儲存為pacp檔案
usb協議的資料部分在leftover capture data域之中,在linux下可以用tshark命令可以將 leftover capture data單獨提取出來 命令如下:
執行命令並檢視usbdata.txt 發現資料報長度為八個位元組
寫出解密指令碼
nums =
keys = open('usb.txt','r')
posx = 0
posy = 0
for line in keys:
if len(line) != 12 :
continue
x = int(line[3:5],16)
y = int(line[6:8],16)
if x > 127 :
x -= 256
if y > 127 :
y -= 256
posx += x
posy += y
btn_flag = int(line[0:2],16) # 1 for left , 2 for right , 0 for nothing
if btn_flag == 1 :
print posx , posy
keys.close()
執行指令碼可以得到一系列座標點
得到這些點之後,需要將他們畫出來,因而需要輔以gnuplot 或者其他的繪圖工具,gnuplot的命令為"plot inputfile",執行如下:
使用一航大佬的工具
一樣的抓包方式
確定為鍵盤流量後
tshark -r 1111.pcapng -t fields -e usb.capdata > usbdata.txt直接使用大佬的工具
工具
流量分析作用
1 流量的趨勢能夠預知 的發展前景 2 流量分析可以反應使用者黏度 吸引了很多 使用者訪問。但是,通過流量分析發現,使用者停留的時間非常短,重複訪問使用者不多,使用者平均瀏覽的頁面也少,這樣的 使用者黏度不夠,有流量但是沒有忠實的使用者,一旦有其它可替代 使用者隨時可能流失。這樣的 如果不採取有效的...
網路流量分析
coding utf 8 import pyshark from scapy.all import import matplotlib.pyplot as plt 讀取pcap檔案 packets pyshark.filecapture net package.pcap def protocal p...
Linux 流量分析的指令
在高流量的 linux server 下分析流量十分有用,以下是幾個有用的指令 1.列出每個連線 ip 的連線數量 netstat nta fgrep established cut b 49 75 cut d f1 sort uniq c sort n r key 1,7 head 25 2.列出...