【[CISCN 2022 初赛]ez_usb】

usb流量分析类型思路：首先找到HID DATA或者Leftover Capture Data，因为键盘和鼠标产生的流量就在这里面

键盘数据包长度为8个字节

第一个字节：代表特殊按键
第二个字节：是保留位
第三个字节~第八个字节：第三个字节是普通按键，第四个字节到第八个字节处理多键同时按的data值和具体键位关系。

首先，看到是usb流量分析类的，先看哪些数据包里面含有HID DATA，发现2.8.1和2.10.1和2.4.1里面含有，于是我们分组导出，分别来看

导出之后hid data变成

Leftover Capture Data: 0400000000000000这样的了

然后在目录下打开cmd，输入并替换其中名字：

tshark -r example.pcap -T fields -e usb.capdata > usbdata.txt

然后每个txt里面都是16个一行一行的，大概每个看看，发现241.txt的不符合

于是对281.txt和2101.txt进行操作

先对281来操作

mappings = {0x04: "A", 0x05: "B", 0x06: "C", 0x07: "D", 0x08: "E", 0x09: "F", 0x0A: "G", 0x0B: "H", 0x0C: "I", 0x0D: "J", 0x0E: "K", 0x0F: "L", 0x10: "M", 0x11: "N", 0x12: "O", 0x13: "P", 0x14: "Q", 0x15: "R", 0x16: "S", 0x17: "T", 0x18: "U", 0x19: "V", 0x1A: "W", 0x1B: "X", 0x1C: "Y", 0x1D: "Z", 0x1E: "1", 0x1F: "2", 0x20: "3", 0x21: "4", 0x22: "5", 0x23: "6", 0x24: "7", 0x25: "8", 0x26: "9", 0x27: "0", 0x28: "n", 0x2a: "[DEL]", 0X2B: " ", 0x2C: " ", 0x2D: "-", 0x2E: "=", 0x2F: "[", 0x30: "]", 0x31: "\\", 0x32: "~", 0x33: ";", 0x34: "'", 0x36: ",", 0x37: "."} nums = [] keys = open( 'C:/Users/14257/Desktop/流量分析题目/ez_usb_aa5a121ba13f7e82d2df13af34ac3123/usbdata2101.txt') for i in keys: i = i.strip() line = "" for j in range(0, len(i), 2): line += i[j:j + 2] + ":" line = line[:len(line) - 1] # print(line) if line[0] != '0' or line[1] != '0' or line[3] != '0' or line[4] != '0' or line[9] != '0' or line[10] != '0' or \ line[12] != '0' or line[13] != '0' or line[15] != '0' or line[16] != '0' or line[18] != '0' or line[ 19] != '0' or line[21] != '0' or line[22] != '0': continue nums.append(int(line[6:8], 16)) keys.close() output = '' for n in nums: if n == 0: continue if n in mappings: output += mappings[n] else: output += '[unknown]' print('output : ' + output) temp_list = [] i = 0 while i < len(output): # 识别[unknown]（长度9：[ u n k n o w n ]） if i + 9 <= len(output) and output[i:i+9] == '[unknown]': i += 9 # 跳过[unknown]，不加入结果列表 # 识别[DEL]（长度5：[ D E L ]） elif i + 5 <= len(output) and output[i:i+5] == '[DEL]': # 处理[DEL]：删除前一个字符（如果temp_list不为空） if temp_list: # 避免列表为空时pop()报错 temp_list.pop() # 删除前一个字符 i += 5 # 跳过[DEL]自身，不加入列表 # 普通字符：正常加入列表 else: temp_list.append(output[i]) i += 1 # 转回字符串，得到最终结果 final_output = ''.join(temp_list) print('output : ' + final_output)

最终生成了一串16进制：

526172211A0700CF907300000D00000000000000C4527424943500300000002A00000002B9F9B0530778B5541D33080020000000666C61672E747874B9BA013242F3AFC000B092C229D6E994167C05A78708B271FFC042AE3D251E65536F9ADA87C77406B67D0E6316684766A86E844DC81AA2C72C71348D10C43D7B00400700

转换次acsll看看只能看出开头是rar，估计是压缩包，2101的是一串短的字符串

35C535765E50074A

把281的16进制转换成压缩包，将16进制复制到010editor里面，记住要ctrl+shift+v来复制

• Ctrl+V（普通粘贴）：把剪贴板里的内容当作文本字符粘贴，每个字符存成对应的 ASCII 字节。
• Ctrl+Shift+V（粘贴为十六进制串）：把剪贴板里的内容当作十六进制编码解析，每 2 个字符转成 1 个二进制字节。

解压发现要密码，用2110的字符串

发现解压失败，把密码换成小写的试试，就ok了