USBPcap – это инструмент USB Packet Capture с открытым исходным кодом для Windows, который может использоваться вместе с Wireshark для анализа трафика USB без использования виртуальной машины.
В настоящее время прямой захват можно выполнить на основе «стандартного ввода»: вы пишете магическую команду в cmd.exe, и Wireshark для захвата необработанного USB-трафика в Windows.
USBPcapDriver имеет три «шляпы»:
Корневой концентратор (USBPCAP_MAGIC_ROOTHUB)
Управление (USBPCAP_MAGIC_CONTROL)
Устройство (USBPCAP_MAGIC_DEVICE)
Поскольку USBPcap захватывает URB, передаваемые между объектом функционального устройства (FDO) и объектом физического устройства (PDO), есть некоторые элементы связи USB, которые вы заметите только в аппаратном USB-сниффере:
Состояние шины (Suspended, Power ON, Power OFF, Reset, High Speed Detection Handshake)
Идентификатор пакета (PID)
Сплит транзакции (CSPLIT, SSPLIT)
Длительность состояния шины и времени, используемого для передачи пакета по кабелю
Скорость передачи (низкая скорость, полная скорость, высокая скорость)
Более того, вы не увидите полное перечисление USB. ъ
Вы увидите, что передача управления USB-устройством будет отправлена на устройство после того, как устройству был назначен его адрес.
Существует также инструмент, чтобы проверить:
– SnoopyPro – Инструмент для удаления USB для Windows
Вы можете скачать USBPcap здесь:
Windows: USBPcapSetup-1.2.0.3.exe
Source: USBPcap-1.2.0.3.zip
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.
