18/4/2011
VMWare umożliwia zapis do pliku wszystkich danch, które są wymieniane przez interface USB. Niedawno Sogeti ESEC Lab zaprezentowało skrypt, dzięki któremu dane te można łatwo zamienić na format PCAP, co pozwoli na wygodną analizę przy pomocy np. Wiresharka.
Włącz logowanie USB
Aby włączyć w VMWare zrzucanie ruchu USB na dysk, do pliku .vmx maszyny należy dodać te linie:
monitor = "debug"
usb.analyzer.enable = TRUE
usb.analyzer.maxLine = 8192
mouse.vusb.enable = FALSE
Od teraz w pliku vmware.log wszystko z prefiksem USBIO będzie oznaczało ruch z USB.
Analiza ruchu USB
Do analizy danych z logu można wykorzystać vsusb-analyser …albo przekonwertować log na format PCAP przy pomocy tego skryptu, stworzonego przez Sogeti ESEC Lab.
czyzby koledzy tez wzieli na tapete te tokeny na usb ktore jedna firma zaczela ostatnio rozsylac do “scisle wyselekcjonowanych osob” w polsce?? ;]
tego samego efektu nie można było uzyskać realtime w połaczeniu Virtualbox (vmware zapewne także) + wireshark na linuksie?
A co kolega chciałby sniffować tym wiresharkiem na Linuxie? poważnie pytam bo nie ogarniam jak wireshark mialby podsluchiwac interface usb.
http://wiki.wireshark.org/CaptureSetup/USB
A tak to można sniffować pakiety wysyłane na porcie USB Wiresharkiem.
Można tego dokonać samym Wiresharkiem pod Linuksem, jednak pod Windowsem jest potrzebny dodatkowo do tego Virtualbox lub VMWare.
Ehh… A moze tak warto zaznaczyc ktorego produktu to dotyczy. Bo tytul brzmi jak ‘luka 0 day w windowsie’… a po analizie we wlasnym zakresie wynika ze w windowsie 95.
Co?? Jaka luka? To jest ZAMIERZONA funkcja w VMWare.
no wlasnie – o tym mówie – to po 1. nie jest problem, po 2. mało konkretna informacja
Warto korzystać z funkcji odpowiedź. Mnie odpowiadają takie wpisy. Niebezpiecznik to nie tylko opisy błędów.
ale przeciez to nie mial byc artykul opisujacy problem w vmware jak dobrze rozumuje a opis przydatnego parsera ;];] ja sobie nim wlasnie zrzucam ruch generowany przez moja chinska karte bezprzew. co sie niesamowicie wysypuje. moze uda sie namierzyc buga.
Cholernie odkrywcze brawo.
Coraz bardziej lame te posty piszecie.
ale glownym tematem jest skrypt? dzieki, ktoremu mozna sobie ladnie przekonwertowac dane
hejters gonna hejt, tyle w tym temacie 8-)
\a skrypt jest OK. przynajmniej ja nie wiedzialem o takich mozliwosciach pcapa a takze VmWarea. przyda sie w robocie.