CTF竞赛中的USB键盘流量分析与实战技巧

1. 题目背景与核心考点解析

2022年全国大学生信息安全竞赛（CISCN）初赛中的"ez_usb"题目，是一道典型的USB流量分析取证题。这类题目在CTF比赛中属于中等难度，主要考察选手对USB协议的理解、数据包分析能力以及Python数据处理技巧。题目给出的是一个pcapng格式的网络抓包文件，但实际包含的是USB键盘流量数据。

从历年赛事经验来看，USB流量分析题通常会设置以下几个考察点：

• USB HID协议中键盘数据的编码规则
• Wireshark过滤器的使用技巧
• 键盘按键码到实际字符的转换逻辑
• 数据包中有效信息的提取与重组

2. 解题环境准备与工具选型

2.1 基础分析环境搭建

推荐使用Kali Linux作为基础分析环境，预装了所需的大部分工具。关键工具链包括：

• Wireshark（2.6.0+）：主流流量分析工具
• tshark：命令行版Wireshark，便于批量处理
• Python3（3.8+）：数据处理脚本编写
• usbhid-dump：专用USB HID数据提取工具

注意：Windows平台也可完成分析，但需要注意Wireshark版本差异可能导致过滤语法不同。建议使用Linux环境保持一致性。

2.2 辅助工具准备

以下Python库需要提前安装：

bash复制pip install pyshark scapy pandas

对于键盘按键码转换，建议准备HID Usage Tables文档（可从USB官网获取）或使用预制的键码映射表。比赛中常用的精简版映射表如下：

3. 详细解题步骤与技巧

3.1 初步流量分析

首先用Wireshark打开pcapng文件，观察到主要流量来自USB HID设备：

bash复制usb.transfer_type == 0x01 && usb.dst == "host"

关键字段说明：

• Leftover Capture Data：包含实际按键数据
• HID Data：通常为8字节，第3字节为按键码
• 键码为0x00表示按键释放

3.2 数据提取与转换

使用tshark提取关键字段：

bash复制tshark -r ez_usb.pcapng -T fields -e usb.capdata \
-Y 'usb.transfer_type == 0x01 && usb.dst == "host"' > keydata.txt

典型数据处理脚本框架：

python复制import pandas as pd

mapping = {
    0x04:['a','A'], 0x05:['b','B'], 0x06:['c','C'],
    # 补充完整映射表
}

def parse_keystroke(data):
    parts = data.split(':')
    if len(parts) < 8: return ''
    keycode = int(parts[2],16)
    modifier = int(parts[0],16)
    
    if keycode == 0: return ''
    
    shift_pressed = modifier & 0x02 or modifier & 0x20
    return mapping.get(keycode,[''])[1 if shift_pressed else 0]

with open('keydata.txt') as f:
    print(''.join([parse_keystroke(line.strip()) for line in f]))

3.3 特殊字符处理技巧

比赛中常见的坑点包括：

1. 大小写切换（Caps Lock）：需要跟踪状态变化
2. 功能键（如Enter、Backspace）：可能包含flag分隔符
3. 非标准键位：不同键盘布局差异

改进后的处理逻辑应包含：

python复制caps_lock = False
output = []

for data in packet_data:
    modifier = data[0]
    keycode = data[2]
    
    # 处理Caps Lock
    if keycode == 0x39:
        caps_lock = not caps_lock
        continue
        
    shift = (modifier & 0x02) or (modifier & 0x20)
    effective_shift = shift ^ caps_lock  # XOR运算
    
    # 特殊键处理
    if keycode == 0x28:  # Enter
        output.append('\n')
    elif keycode == 0x2a:  # Backspace
        if output: output.pop()
    else:
        char = mapping.get(keycode,['',''])[effective_shift]
        output.append(char)

4. 实战优化与高级技巧

4.1 流量特征过滤优化

原始过滤条件可能遗漏关键数据包，改进方案：

bash复制(usb.transfer_type == 0x01 && usb.dst == "host") || 
(usb.transfer_type == 0x01 && frame.len == 72)

4.2 时序分析与输入重建

通过分析数据包时间戳还原输入节奏：

python复制from datetime import datetime

timestamps = []
with open('timing.txt') as f:
    for line in f:
        ts = float(line.strip())
        timestamps.append(datetime.fromtimestamp(ts))

# 计算输入间隔
intervals = [(timestamps[i+1]-timestamps[i]).total_seconds() 
            for i in range(len(timestamps)-1)]

# 识别长停顿（可能为flag分段）
break_points = [i for i,x in enumerate(intervals) if x > 1.0]

4.3 异常数据处理

处理残缺或异常数据包的策略：

1. 长度不足8字节的包：用00补全
2. 无效键码：记录原始十六进制值
3. 重复数据包：添加去重逻辑

python复制def sanitize_data(raw):
    parts = raw.split(':')
    if len(parts) < 8:
        parts += ['00']*(8-len(parts))
    return ':'.join(parts[:8])

5. 常见问题与调试技巧

5.1 典型问题排查表

5.2 调试技巧

1. 分阶段验证：

   python复制# 阶段1：原始数据检查
   print(raw_data[:100])  
   # 阶段2：键码提取验证
   print(extracted_codes[:50])
   # 阶段3：最终输出检查
   print(''.join(output)[:200])
   

2. 边界案例测试：

   • 连续Shift按键
   • Caps Lock开关组合
   • 功能键混合输入

3. 可视化辅助：

   python复制import matplotlib.pyplot as plt
   plt.plot(intervals)
   plt.show()  # 识别异常时间间隔
   

6. 扩展应用与变种题型

6.1 鼠标流量分析

类似题目可能考察USB鼠标数据：

• 数据格式：通常为4字节（X位移，Y位移，按键状态）
• 解题思路：将移动轨迹转换为坐标绘图

python复制x, y = 0, 0
coords = []
for packet in mouse_data:
    dx, dy = packet[1], packet[2]
    x += dx if dx < 128 else dx-256
    y += dy if dy < 128 else dy-256
    coords.append((x,y))

6.2 复合设备分析

键盘鼠标混合流量的处理方法：

1. 通过端点地址区分设备（0x81/0x82）
2. 分别建立处理管道
3. 按时间戳合并事件

6.3 加密流量处理

进阶题目可能对USB数据加密：

• 识别加密模式（XOR/Base64等）
• 查找固件中的密钥（通过USB描述符）
• 编写解密中间件

python复制def decrypt_payload(data, key=0x55):
    return bytes([b ^ key for b in data])

在实际比赛中，建议准备通用的USB分析工具链和脚本框架，遇到变种题型时能快速适配。对于这道"ez_usb"题目，掌握基础键盘流量分析技术即可在30分钟内完成解题。关键是要理解HID协议的数据组织方式，并能够编写健壮的数据处理脚本。