9:03
18/4/2011

Sniffing USB w VMWare

Autor: vi.curry | Tagi:  

VMWare umożliwia zapis do pliku wszystkich danch, które są wymieniane przez interface USB. Niedawno Sogeti ESEC Lab zaprezentowało skrypt, dzięki któremu dane te można łatwo zamienić na format PCAP, co pozwoli na wygodną analizę przy pomocy np. Wiresharka.

VMWare USB

Włącz logowanie USB

Aby włączyć w VMWare zrzucanie ruchu USB na dysk, do pliku .vmx maszyny należy dodać te linie:

monitor = "debug"
usb.analyzer.enable = TRUE
usb.analyzer.maxLine = 8192
mouse.vusb.enable = FALSE

Od teraz w pliku vmware.log wszystko z prefiksem USBIO będzie oznaczało ruch z USB.

Analiza ruchu USB

Do analizy danych z logu można wykorzystać vsusb-analyser …albo przekonwertować log na format PCAP przy pomocy tego skryptu, stworzonego przez Sogeti ESEC Lab.

Przeczytaj także:

Niebezpiecznik

12 komentarzy

Dodaj komentarz
  1. Flinn 2011.04.18 09:47 | # | Reply

    czyzby koledzy tez wzieli na tapete te tokeny na usb ktore jedna firma zaczela ostatnio rozsylac do “scisle wyselekcjonowanych osob” w polsce?? ;]

  2. RooTer 2011.04.18 11:01 | # | Reply

    tego samego efektu nie można było uzyskać realtime w połaczeniu Virtualbox (vmware zapewne także) + wireshark na linuksie?

    • prim 2011.04.18 23:16 | # |

      A co kolega chciałby sniffować tym wiresharkiem na Linuxie? poważnie pytam bo nie ogarniam jak wireshark mialby podsluchiwac interface usb.

    • webnull 2011.04.18 23:43 | # |

      http://wiki.wireshark.org/CaptureSetup/USB

      A tak to można sniffować pakiety wysyłane na porcie USB Wiresharkiem.

      Można tego dokonać samym Wiresharkiem pod Linuksem, jednak pod Windowsem jest potrzebny dodatkowo do tego Virtualbox lub VMWare.

  3. Marcin Rybak 2011.04.18 18:26 | # | Reply

    Ehh… A moze tak warto zaznaczyc ktorego produktu to dotyczy. Bo tytul brzmi jak ‘luka 0 day w windowsie’… a po analizie we wlasnym zakresie wynika ze w windowsie 95.

    • Zen Vantalye 2011.04.18 20:39 | # |

      Co?? Jaka luka? To jest ZAMIERZONA funkcja w VMWare.

  4. Marcin Rybak 2011.04.18 20:44 | # | Reply

    no wlasnie – o tym mówie – to po 1. nie jest problem, po 2. mało konkretna informacja

    • Zen Vantalye 2011.04.18 21:13 | # |

      Warto korzystać z funkcji odpowiedź. Mnie odpowiadają takie wpisy. Niebezpiecznik to nie tylko opisy błędów.

    • Rafal 2011.04.18 23:09 | # |

      ale przeciez to nie mial byc artykul opisujacy problem w vmware jak dobrze rozumuje a opis przydatnego parsera ;];] ja sobie nim wlasnie zrzucam ruch generowany przez moja chinska karte bezprzew. co sie niesamowicie wysypuje. moze uda sie namierzyc buga.

  5. baadfood 2011.04.18 21:02 | # | Reply

    Cholernie odkrywcze brawo.
    Coraz bardziej lame te posty piszecie.

    • Nukemiak 2011.04.18 22:53 | # |

      ale glownym tematem jest skrypt? dzieki, ktoremu mozna sobie ladnie przekonwertowac dane

    • prim 2011.04.18 23:13 | # |

      hejters gonna hejt, tyle w tym temacie 8-)
      \a skrypt jest OK. przynajmniej ja nie wiedzialem o takich mozliwosciach pcapa a takze VmWarea. przyda sie w robocie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: