Az usb busz gyakorlatra vonatkozó adatok lehallgatása
Az USB buszon keresztül továbbított adatok iránt érdeklődünk. Meg tudnám valahogy "hallgatni" ezt a forgalmat? Kiderült, hogy tudsz.
Töltse le a program USBPcap programját. létrehozunk:
Most futtassa a rendszergazdai jogosultságokkal rendelkező USBPcapCMD.exe fájlt:
Az USB sziréna indítása
Mi figyelemmel kísérjük a munkát egy flash meghajtón, amit gondosan behelyeztem az első gyökérhárító 3. portjába. A programban 2-es számként lett megadva. Adja meg a 2. számot. Ezután beírjuk az eredményül kapott fájlt (1.pcap), mindent, ami ezen a buszon történik, be lesz írva.
Egy kicsit módosítja a szöveges fájl tartalmát az USB flash meghajtón:
A vizuális szekvenciát a fájlba írjuk
Ezt követően a Ctrl + C billentyűk megnyomásával és a WireSharkon megnyitjuk az 1.pcap (a programkönyvtárban megjelenő) fájlt:
Parancsok adatcserére USB eszközzel
Az USB eszközök rendszeres lekérdezése
Szóval könnyű látni, hogy rendszeresen (kb. Egy másodpercenként) USB-eszközt keresnek:
Ezt egy Test egység Ready LUN-nak tekintjük. Azonnali válasz érkezik. Ily módon a rendszer felismeri, hogy az eszköz csatlakozik az agyhoz.
Parancs USB eszközök írására
FAT gyökérkönyvtár bejegyzés
Az elvárásoknak megfeleltek! Egyszerű aritmetikai átalakításokkal:
0x000001F0 * 200 = 0x0003E000
FAT gyökérkönyvtár
Tisztított gyökérkönyvtár
Írjon adatokat egy USB flash meghajtón levő fájlba
A következő parancs írása blokkolja a 0x00000210-et. Látjuk, hogy a 0x31 sorozatot írjuk. 0x31. 0x31. 0x32. 0x32, ... Aha!
Szorozzuk meg a blokkot 200:
A fájl tartalmát az USB flash meghajtón
Nos, biztos! Ez csak a fürt, amelyet az 1.txt fájl elfoglal. és ebből az eltolásból a 111222333444 tartalom kezdődik. Ezek a karakterek ASCII kódjai, amelyek úgy néznek ki, mint a 0x31, 0x31, 0x31, 0x32, .... Minden összejött!
Lásd az alábbi parancsot az íráshoz:
Írás a FAT táblába
Ez érdekes. Természetesen van egy találgatásom, de jobb, ha megnézem. Az LBA 0x00000004-et látjuk.
Megmagyarázom, F8 - a hordozó azonosítója (merevlemez). Ezután két bájtnyi FFFF töltőanyag van. És akkor - FFFF - ez a rekord a fájlunkról. Ez azt jelenti, hogy a fájlelosztási táblában a fájl egyetlen fürtöt foglal el, és ez az első FAT bejegyzés. Nézd meg a linket, hogy megértsd.
A következő eltolás az előző képernyőn 0x0000000FA. Nem szedjük szét, csak azt mondjuk, hogy ez a FAT-táblázat második példánya (backup).
Itt, általában, ez minden. Azt kell mondanom, mielőtt nem tudtam megérteni, hogy miként történik az USB-típusú adathordozók rögzítése. Most világossá válik. Vannak módszertani anyagok az USB-eszközök és illesztőprogramok programozásában, van egy csodálatos ötletem is, amelyet végrehajtani akarok. Ehhez meg kell írni egy kis programot, mint ez a szippantás.
Ön is tetszeni fog:
