martes, 20 de octubre de 2015

USBPcap: capturar todo lo que pasa por una usb como pcap

USBPcap es un sniffer USB de código abierto para Windows (XP, Vista, 7 y 8). Es capaz de capturar toda la actividad de cualquier dispositivo USB en formato pcap para un posterior análisis con Wireshark (1.10.0rc1 o superior).
 

Su funcionamiento es muy sencillo. Una vez descargado (USBPcapSetup-1.0.0.7.exe) e instalado nos iremos a su directorio y ejecutaremos USBPcapCMD.exe para ver los Root Hubs. Después seleccionaremos el dispositivo que queremos monitorizar y el fichero donde se volcará la captura:


Con Control+C pararemos cuando queremos la captura y podremos analizar el fichero pcap con Wireshark. Como podéis comprobar en la siguiente imagen podemos registrar toda la actividad del USB, incluido la escritura en ficheros:

También podemos ver la captura en tiempo real con el siguiente comando:
USBPcapCMD.exe -d \\.\USBPcap1 -o - | "d:\Program Files2\Wireshark\Wireshark.exe" -k -i -

 
Web del proyecto: http://desowin.org/usbpcap/index.html
Página Github del proyecto: https://github.com/desowin/usbpcap


Fuente: http://secure-tec.blogspot.com.co/2014/12/usbpcap.html

No hay comentarios:

Publicar un comentario