USB设备抓包工具BusHound的Windows驱动抓包
2021-11-03
2866
1
USB-HID-UVC-UAC调试工具下载:https://www.usbzh.com/article/detail-1192.html
BusHound可以抓包的设备类型有硬盘、1394火线和USB设备数据,并且抓到的数据并非是各总线上的,而是经过各总线传递到Windows内核的内核数据。
BusHound采用的是Windows过滤驱动的方式进行抓包的,并且可以区分各总线上相关的数据协议,如USB的输入输出事务,同步传输,CTRL请求和一些Windows内核的信息如URB,IRP,IO_STACK_LOCATION等。
在BusHound的抓包配置窗口,有一个叫做驱动IO窗口,我们一般在抓包的时候不太关注,但有的时候,经常出现的一些莫名的问题就是因为某个驱动未选中引起的。
例如我们抓取USB鼠标设备的数据:
但我们在驱动配置中未选中HidClass驱动,那么我们是抓取不到数据的。
这是因为,USB鼠标的驱动就是HidClass,我们通过设备管理器可以看到设备管理器中的驱动。
所以,如果我们选中了设备,但没有选中设备的驱动,在其下面的数据类型抓包窗口中是无法抓到数据的。
关于BusHound抓包的总结
对于BusHound进行数据抓包,所以配置一般的步骤是这样的:
- 在设备树中选择相应的设备
- 在驱动IO窗口中选择合适的驱动
- 在数据类型窗口中选择需要抓的数据类型
- 配置抓包的数据的长度等参数
- 开始抓包
题外话
由于BusHound的抓包原理是过滤驱动,所以抓到的数据是在各驱动层传递的数据,所以也就并不等于实际在总线上的数据。
所以有时抓到的数据和实际的数据会缺斤少两的。
关于这个问题,可以参见:
HID人机交互QQ群:564808376
UAC音频QQ群:218581009
UVC相机QQ群:331552032
BOT&UASP大容量存储QQ群:258159197
STC-USB单片机QQ群:315457461
USB技术交流QQ群2:580684376
USB技术交流QQ群:952873936