USB设备抓包工具BusHound的Windows驱动抓包

BusHound可以抓包的设备类型有硬盘、1394火线和USB设备数据，并且抓到的数据并非是各总线上的，而是经过各总线传递到Windows内核的内核数据。

BusHound采用的是Windows过滤驱动的方式进行抓包的，并且可以区分各总线上相关的数据协议，如USB的输入输出事务，同步传输，CTRL请求和一些Windows内核的信息如URB,IRP,IO_STACK_LOCATION等。

在BusHound的抓包配置窗口，有一个叫做驱动IO窗口，我们一般在抓包的时候不太关注,但有的时候，经常出现的一些莫名的问题就是因为某个驱动未选中引起的。

例如我们抓取USB鼠标设备的数据：

但我们在驱动配置中未选中HidClass驱动，那么我们是抓取不到数据的。

这是因为，USB鼠标的驱动就是HidClass,我们通过设备管理器可以看到设备管理器中的驱动。

所以，如果我们选中了设备，但没有选中设备的驱动，在其下面的数据类型抓包窗口中是无法抓到数据的。

关于BusHound抓包的总结

对于BusHound进行数据抓包，所以配置一般的步骤是这样的：

1. 在设备树中选择相应的设备
2. 在驱动IO窗口中选择合适的驱动
3. 在数据类型窗口中选择需要抓的数据类型
4. 配置抓包的数据的长度等参数
5. 开始抓包

题外话

由于BusHound的抓包原理是过滤驱动，所以抓到的数据是在各驱动层传递的数据，所以也就并不等于实际在总线上的数据。
所以有时抓到的数据和实际的数据会缺斤少两的。
关于这个问题，可以参见：

• UVC UVC驱动IAD失踪之迷 http://www.usbzh.com/article/detail-63.html