[PICOCTF](FORENSICS)Just Keyp Trying

---

简介 :

Just Keyp Trying
  Here's an interesting capture of some data. But what exactly is this data? Take a look
HINTS
  1. Find out what kind of packets these are. What does the info column say in  Wireshark/Cloudshark?
  2. What changes between packets? What does that data look like?
  3. Maybe take a look at http://www.usb.org/developers/hidpage/Hut1_12v2.pdf?

---

数据包下载 :

data.pcap

---

分析 :

根据 WireShark 分析 , 是一个 USB 流量包 , 根据提示信息找到USB流量的文档发现 :

Paste_Image.png

Paste_Image.png

Paste_Image.png

根据对应关系 , 发现前两个为 F 和 L , 基本上就可以确定思路了 , FLAG{xxxx}嘛
然后自己根据这个映射关系写了一个Python小工具用来从Pcap流量包中提取键盘的击键信息
分享给大家 , 还有一个工具是用来分析USB鼠标的移动及拖拽信息的 , 基本原理类似 , 去查询文档即可
下面附上几张截图 :

Paste_Image.png

Paste_Image.png

Paste_Image.png

Paste_Image.png

---

工具分享 :

1. USB键盘流量恢复工具
2. USB鼠标流量恢复工具

---

参考资料 :

1. USB协议文档
2. 【技术分享】从CTF中学USB流量捕获与解析