文章首发于freebuf

对ctf中的USB做一个了断吧，先摆上一些概念性的东西

USB是 UniversalSerial Bus（通用串行总线）的缩写，是一个外部总线标准，用于规范电脑与外部设备的连接和通讯，例如键盘、鼠标、打印机、磁盘或网络适配器等等。通过对该接口流量的监听，我们可以得到取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。

现在USB协议版本有USB2.0, USB3.1,USB3.2, USB4等，目前USB2.0/3.0比较常用，你在淘宝上买U盘的时候可能看见过很多“USB 3.0”。 闲谈哈，你可能听过USB3.1的概念，是某苹果为了装逼提出来的，跟USB3.0差别不大，但是人家是老大哥啊，所有慢慢都向大哥看齐，都流行说USB3.1

异步串行通信口(UART)就是我们在嵌入式中常说的串口，它还是一种通用的数据通信协议。这种方式下，设备只是简单的将 USB 用于接受和发射数据，除此之外就再没有其他通讯功能了。

HID（Human Interface Device，人机接口设备）是USB设备中常用的设备类型，是直接与人交互的USB设备，例如键盘、鼠标与游戏杆等。在USB设备中，HID设备的成本较低。另外，HID设备并不一定要有人机交互功能，只要符合HID类别规范的设备都是HID设备。

USB Memory是数据存储 每一个 USB 设备（尤其是 HID 或者 Memory ）都有一个供应商 ID（Vendor ID） 和产品识别码（Product Id） 。 Vendor ID 是用来标记哪个厂商生产了这个 USB 设备。 Product ID 则用来标记不同的产品。

lsusb命令用于显示本机的USB设备列表，以及USB设备的详细信息。

Bus 002：指明设备连接到哪条总线 Device 002：表明这是连接到总线上的第二台设备 ID：设备的ID VMware, Inc. Virtual Mouse：生产商名字和设备名

这里就放几个处理流量包时常用的

以往接触到的，USB协议数据部分在Leftover Capture Data域中，数据长度为8个字节。 击键信息集中在第3个字节，每次击键都会产生一个数据包。所以如果看到给出的数据包中的信息都是 8 个字节，并且只有第 3 个字节不为 0000，那么几乎可以肯定是一个键盘流量了。 现在在比赛中常见的（2021国赛初赛有个例题），是这种，Leftover Capture Data——>HID Data 这个改变需要注意什么呢，需要注意tshark导出数据时的过滤器字段，看这个对应的过滤器字段，去wireshark的英文文档里找。

导出数据之后，就用python对应字典的数据写脚本解密就行，映射表是类似下面。

例如： 键盘发送 02 00 0e 00 00 00 00 00，表示同时按下了 Left Shift + ‘k’，即大写 K。 具体键位对应 Universal Serial Bus HID Usage Tables - USB-IF 53页~59页

may1as/UsbKbCracker: CTF中常见键盘流量解密脚本 (github.com)

根据wangyihang大佬的脚本改的，主要增加了个协议字段的选项 放在GitHub上了，用2021国赛初赛的举个例子吧

鼠标流量同样，Leftover Capture Data——>HID Data可能是不同版本协议导致的（我还没去考证哈，别全信）

与键盘击键的离散性不一样，鼠标移动时表现为连续性，不过实际上鼠标动作所产生的数据包也是离散的 鼠标数据包的数据长度为4个字节。

例如： 鼠标发送 00 01 fc 00，表示鼠标右移 01 像素，垂直向下移动 124 像素。

就这么多知识，剩下的就是写脚本了

[may1as/UsbmiceCracker: CTF中常见鼠标流量解密脚本 (github.com)](https://github.com/may1as/UsbmiceCracker)

很多朋友使用wangyihang大佬的鼠标流量解密脚本，出现无法成功显示图片的问题。原因是tshark早前的版本导出数据带冒号，形如这样：00:00:04:00:00:00:00:00，而现在是00000000ffff0000，并不带冒号，导致处理数据时出现问题。 这里就处理了一下导出数据格式，增加了命令行里协议字段的选项

https://www.usb.org/document-library/device-class-definition-hid-111