hacktricks/forensics/basic-forensic-methodology/pcap-inspection/usb-keyboard-pcap-analysis.md

从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS红队专家)！

支持HackTricks的其他方式:

• 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

如果您有一个USB连接的pcap文件，其中包含大量中断，很可能是USB键盘连接。

像这样的wireshark过滤器可能会有用：usb.transfer_type == 0x01 and frame.len == 35 and !(usb.capdata == 00:00:00:00:00:00:00:00)

需要知道的重要信息是，以"02"开头的数据是使用shift键按下的。

您可以在以下链接中阅读更多信息，并找到一些关于如何分析这些信息的脚本：

• https://medium.com/@ali.bawazeeer/kaizen-ctf-2018-reverse-engineer-usb-keystrok-from-pcap-file-2412351679f4
• https://github.com/tanc7/HacktheBox_Deadly_Arthropod_Writeup

从零开始学习AWS黑客攻击直到成为专家 htARTE (HackTricks AWS红队专家)！

支持HackTricks的其他方式:

• 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。