当前位置：首页 > news >正文

电子取证新视角：USB键盘流量提取密码方法研究与实现

news 2026/3/27 22:00:53

0x01 引言

在当今数字化时代，USB设备的广泛使用使得信息安全和电子取证领域面临着新的挑战与机遇。特别是USB键盘，作为一种常见的输入设备，其流量中可能包含用户输入的敏感信息，如密码和其他私人数据。因此，研究USB键盘流量提取密码的方法，不仅具有重要的学术意义，更在实际的取证工作中具有重要的应用价值。

首先，USB键盘通过USB接口与计算机连接，可以实时传输用户的输入信息。每当用户在键盘上输入字符时，这些信息都会以数字信号的形式被传输到计算机。通过捕获这些USB流量，我们可以重构用户的输入数据，进而提取出密码等敏感信息。

在具体实现过程中，我们可以使用如wireshark、tcpdump等工具采集USB流量。通过对捕获数据进行解析，我们可以提取出每个输入的字符，形成用户的输入记录。结合时间戳和上下文信息，可以准确还原用户在特定时刻所输入的密码。这一过程涉及到数据包的捕获、解码和分析，要求具备一定的计算机网络和数据处理能力。

然而，在进行USB键盘流量提取时，也需注意法律和伦理问题。电子取证工作必须在合法的范围内进行，确保不侵犯用户隐私。相关的提取和分析工作应当遵循相应的法规和政策，以确保取证过程的合法性和有效性。

0x02 实现过程

基础知识

USB协议数据部分在Leftover Capture Data域中，数据长度为八个字节。其中键盘击键信息集中在第三个字节中。

键位映射关系参考：《USB键盘协议中键码》中的HID Usage ID

如图，发现击键信息为0x06，即对应的按键为C

CTF题型

安全评测人员在对某银行卡密码输入系统进行渗透测试，截获了一段通过USB键盘输入6位数字密码的流量，其中也包含了一些其他无关的USB设备的流量，你能从中恢复出6位数字密码吗？最终提交的flag格式为flag。

使用kali的tshark命令把cap data提取出来:

tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt
tshark -r usb.pcap -T fields -e usb.capdata | sed '/^\s*$/d' > usbdata.txt #提取并去除空行

提取出来的数据可能会带冒号，也可能不带（有可能和wireshark的版本相关），但是一般的脚本都会按照有冒号的数据来识别

有冒号时提取数据的[6:8]
无冒号时数据在[4:6]

可以用脚本来加上冒号

# -*- coding: utf-8 -*-
f=open('usbdata.txt','r')
fi=open('out.txt','w')
while 1:a=f.readline().strip()if a:if len(a)==16: # 鼠标流量的话len改为8out=''for i in range(0,len(a),2):if i+2 != len(a):out+=a[i]+a[i+1]+":"else:out+=a[i]+a[i+1]fi.write(out)fi.write('\n')else:breakfi.close()

再用一个python脚本来提取鼠标移动坐标:

mappings = { 0x04:"A",  0x05:"B",  0x06:"C", 0x07:"D", 0x08:"E", 0x09:"F", 0x0A:"G",  0x0B:"H", 0x0C:"I",  0x0D:"J", 0x0E:"K", 0x0F:"L", 0x10:"M", 0x11:"N",0x12:"O",  0x13:"P", 0x14:"Q", 0x15:"R", 0x16:"S", 0x17:"T", 0x18:"U",0x19:"V", 0x1A:"W", 0x1B:"X", 0x1C:"Y", 0x1D:"Z", 0x1E:"1", 0x1F:"2", 0x20:"3", 0x21:"4", 0x22:"5",  0x23:"6", 0x24:"7", 0x25:"8", 0x26:"9", 0x27:"0", 0x28:"\n", 0x2a:"[DEL]",  0X2B:"    ", 0x2C:" ",  0x2D:"-", 0x2E:"=", 0x2F:"[",  0x30:"]",  0x31:"\\", 0x32:"~", 0x33:";",  0x34:"'", 0x36:",",  0x37:"." }nums = []
keys = open('out.txt')
for line in keys:if line[0]!='0' or line[1]!='0' or line[3]!='0' or line[4]!='0' or line[9]!='0' or line[10]!='0' or line[12]!='0' or line[13]!='0' or line[15]!='0' or line[16]!='0' or line[18]!='0' or line[19]!='0' or line[21]!='0' or line[22]!='0':continuenums.append(int(line[6:8],16))keys.close()output = ""
for n in nums:if n == 0 :continueif n in mappings:output += mappings[n]else:output += '[unknown]'print 'output :\n' + output

BCFGIJGFEDCABACFEDCA7200[DEL]53[DEL]93
因为[DEL]是删除键,恢复出6位数字。所以flag: 720593

0x03 小结

本次总结了USB流量包的流量分析，对键盘流量有了简单的了解。

参考文章:

CTF流量分析常见题型(二)-USB流量_ctf usb流量分析-CSDN博客

电子取证新视角：USB键盘流量提取密码方法研究与实现

0x01 引言

0x02 实现过程

基础知识

0x03 小结

相关文章：

电子取证新视角：USB键盘流量提取密码方法研究与实现

Tongweb7049m4+THS6010-6012配置故障轉移+重試机制（by lqw）

在线客服系统网站源码-网页聊天客服实现代码

JioNLP:一款实用的中文NLP预处理工具包

GR-ConvNet论文学习笔记

windows环境批量删除指定目录下的全部指定文件

水深探测仪的作用和使用方法

Leetcode 搜索插入位置

jsp怎么实现点赞功能

取消microsoft edge作为默认浏览器，修改方法，默认修改不了的原因

C++面试速通宝典——17

10、论文阅读：基于双阶对比损失解纠缠表示的无监督水下图像增强

Git配置token免密登录

活动预告｜博睿数据将受邀出席GOPS全球运维大会上海站！

Flutter技术学习

Kubernetes网络通讯模式深度解析

SBTI科学碳目标是什么？有什么重要意义

英特尔新旗舰 CPU 将运行更凉爽、更高效，适合 PC 游戏

MySQL 启动失败 (code=exited, status=1/FAILURE) 异常解决方案

通信工程学习：什么是RIP路由信息协议

基于 MATLAB 的非线性优化算法实现：BFGS + Armijo 线搜索

ente/auth缓存机制详解：提高系统响应速度

OpenClaw语音控制扩展：Qwen3.5-4B-Claude对接Whisper实现声控自动化

UE5场景过曝/白屏排查指南：从后期处理体积到项目设置的实战修复

突破运营商限制：中兴光猫配置文件解密工具完全指南

从南邮实验报告看数据结构：顺序表、链表、二叉树、图，这些实验到底在练什么？

大模型“预训练”是怎么回事

基于ANPC型三电平逆变器的VSG并网及参数自适应控制

Qwen3.5-4B-Claude-Opus应用场景：技术博客选题生成、文章大纲结构化输出

Anaconda Prompt卡在solving environment？别慌，三步搞定清华镜像源配置（附.condarc文件）