网络安全取证_鼠标键盘流量分析_USB协议解析_基于Python和tshark的USB流量包分析工具_用于提取和分析PCAPPCAPNG格式的USB流量数据_支持键盘按键记录和鼠.zip

共9个文件

txt：2个

py：2个

png：2个

5 浏览量 2025-04-27 23:16:35 上传评论收藏 380KB ZIP 举报

网络安全取证技术是当今信息技术领域的重要分支，它专注于通过科学的方法和技术手段，对网络攻击、非法入侵等安全事件中的数据进行收集、保存、分析和呈现，以帮助取证人员理解事件本质，追踪肇事者并提供法律证据。在这一领域，鼠标和键盘流量分析是常用的技术之一，因为它们与用户的交互密切相关，能够在很大程度上反映出用户的操作行为和意图。 USB协议解析则是理解USB设备数据传输机制的关键，它能够帮助分析人员洞察通过USB接口传输的数据内容。由于USB设备在日常使用中的普及性，USB流量分析成为网络安全取证中的一个重要环节，尤其是在涉及到计算机取证时，通过USB流量分析来提取关键信息，如键盘按键记录和鼠标移动轨迹，已成为重要的取证手段之一。本工具基于Python语言和tshark工具开发，旨在提取和分析PCAP和PCAPNG格式的USB流量数据。PCAP（Packet Capture）和PCAPNG（Packet Capture Next Generation）是网络流量捕获文件的格式，广泛用于存储网络流量数据。这些格式能够详细记录网络传输中的每一个数据包，包括USB流量数据。 Python作为一种高级编程语言，因其简洁、易读的特点被广泛应用于各种开发任务中，尤其是在数据处理、网络编程和自动化脚本编写方面表现突出。结合强大的网络分析库，如Pyshark，Python能够为网络安全取证工作提供强大的支持。 Tshark是Wireshark的命令行版本，是网络协议分析领域的一个强大工具，它能够捕获网络数据包，并提供数据包的详细信息和统计信息。Tshark特别适用于网络流量分析和安全监控，它能够解析多种网络协议，包括USB协议，从而为深入分析USB流量提供可能。本工具的主要功能包括但不限于：支持键盘按键记录和鼠标移动轨迹的提取，这些信息对于重现用户的操作行为、评估安全事件的影响范围以及帮助取证人员获取关键证据至关重要。通过这份文档附带的资源，用户可以获得详细的使用说明和相关文档，进一步理解USB流量分析工具的使用方法和网络安全取证的相关知识。knm-master可能是一个项目名称或代码库名称，包含了该工具的核心功能实现和代码资源。通过深入研究和应用这份工具，不仅能够提高网络安全取证的效率和准确性，还能够为计算机安全教育和培训提供实践案例和教学资源。

资源推荐

资源详情

资源评论

收起资源包目录

网络安全取证_鼠标键盘流量分析_USB协议解析_基于Python和tshark的USB流量包分析工具_用于提取和分析PCAPPCAPNG格式的USB流量数据_支持键盘按键记录和鼠.zip （9个子文件）

knm-master

knm.py 11KB

LICENSE 8KB

img

1.png 139KB

2.png 220KB

knm-old.py 10KB

README.md 4KB

requestment.txt 23B

说明文件.txt 586B

附赠资源.docx 13KB

# knm > 鼠标键盘流量包分析取证 > > 全新重构2.0 > > author:[**FzWjScj**](https://github.com/FzWjScJ)、[**DizzyK**](https://github.com/Dizzy-K)、[**Snowywar**](https://github.com/jiayuqi7813/) --- ## 前言使用了click库对整体交互进行了重构，优化了过往键盘数据显示，修复了鼠标流量无法正常绘制的bug。 ### 优化： 1. 键盘流量转换为数据完全显示和最终显示 2. 修复了鼠标流量无法正常绘制 3. 整体功能细化，交互人性化 ### 新功能： 1. 新增一键查看流量包中所有usb地址 2. 新增pca转data导出时自定义地址过滤 3. keyboard转换数据时输出原始数据或者最终数据 ## 环境要求 1. python库 1. matplotlib 2. tqdm 2. click 2. tshark ### 安装方法 ```bash pip install -r requestment.txt apt-get install tshark ``` ## 使用方法 ```bash Usage: knm.py [OPTIONS] COMMAND [ARGS]... 主要功能： 1.addr 快速查看usb流量所有地址 2.pca pcap转为data文件 3.keyboard data转为keyboard文件 4.mouse data转为mouse文件 Options: --version Show the version and exit. --help Show this message and exit. Commands: addr Usage: python knm.py addr -i input.pcap -t old/new keyboard Usage: python knm.py keyboard -i input.data mouse Usage: python knm.py mouse -i input.data pca Usage: python knm.py pca -i input.pcap -o output.data ``` --- ## 参数解释 addr:一键输出目标流量包所有地址内容 keyboard：解析键盘流量 mouse：解析鼠标流量 pca：将pcapng等USB流量包模式提取有用数据 -v：版本描述及作者信息 --- ## 功能讲述 ### DONE - [x] 读取流量包信息 - [x] 分析鼠标、键盘流量 - [x] 代码重构 - [x] 键盘流量直接输出内容 - [x] 键盘流量扩容字典 - [x] 鼠标流量作图 - 轨迹作图 - 左右键作图 - [x] 更改pca的输出，使之能够更好的应用于mouse和keyboard - [x] 进度条 - [x] 不标准的鼠标键盘流量协议分析 ### TODO - [ ] *自动识别流量类别* - [ ] 外设流量分析 - [ ] 触摸板 - [ ] 打击垫 - [ ] *手柄* - [ ] pyshark代替tshark - [ ] And so on...... --- ## 使用范例 1. 查看目标流量的全部USB地址信息（new代表usbhid.data,old代表usb.capdata） ``` python3 knm.py addr -i usb.pcapng -t new ``` 2. 提取USB流量信息 ```python python knm.py pca -i usb.pcapng -o out.txt ``` 在当前文件夹得到提取结果(若未填写[output filename], 则默认为out.txt) 后续会有引导，按照后续内容所选进行输出不同内容 ![image-20220531195010887](.\img\1.png) 3. 提取键盘流量信息 ```python python knm.py keyboard [input filename] [output filename] ``` 其中, [input filename]为必填项(若未填写[output filename], 则默认为outkeyboard.txt)。在当前文件夹得到提取结果并将结果直接打印在终端上。后续仍有引导，两种效果如下，自行根据题目所需进行选择 ![image-20220531195415864](.\img\2.png) 3. 提取鼠标流量信息 ```python python knm.py mouse [input filename] [output filename] ``` 其中, [input filename]为必填项(若未填写[output filename], 则默认为outmouse.txt) 在当前文件夹得到提取结果并询问是否按照坐标点作图 4. 作图直接输入序号(0\1\2\3) 0: 作出全部鼠标轨迹图 1: 作出鼠标左击轨迹图 2: 是作出鼠标右击轨迹图 3: 是将上述三幅图合成一幅输出(但精度较低,请酌情使用)

评论收藏

内容反馈