Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일

C# - (Wireshark의) USBPcap을 이용한 USB 패킷 모니터링

트위터를 통해, USB 패킷을 저장 후 다시 재생하는 github repo를 알게 되었습니다.

JohnDMcMaster / usbrply
; https://github.com/JohnDMcMaster/usbrply

일단 위의 소스 코드는, 리눅스 환경에서 python을 이용해 replay하는 건데 제가 테스트한 바로는 윈도우 환경에서는 동작하지 않았습니다. (혹시 윈도우에서의 동작 방법을 성공하신 분은 덧글 부탁드립니다. ^^)




그런데, 사실 저게 중요한 것이 아니고 저 글에서 나온 Wireshark의 플러그인으로 들어가는 USBPcap이 더 의미가 있습니다. Wireshark를 설치하면 간편하게 USBPcap도 함께 설치할 수 있지만 원래는 독자적으로 repo를 가지고 있는 도구입니다.

USBPcap - USB Packet capture for Windows
; https://desowin.org/usbpcap/

desowin / usbpcap
; https://github.com/desowin/usbpcap

간단하게 그냥 Wireshark를 통해 설치한 경우 "C:\Program Files\Wireshark\extcap" 경로에 USBPcapCMD.exe 실행 파일이 놓이는데, 이를 실행하면 다음과 같은 식으로 USB 장치를 열거하게 되고,

C:\Program Files\Wireshark\extcap> USBPcapCMD.exe

Following filter control devices are available:
1 \\.\USBPcap1
  \??\USB#ROOT_HUB30#4&1148bc98&0&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}
    [Port 7] USB Composite Device
      USB Input Device
        HID Keyboard Device
      USB Input Device
        HID-compliant consumer control device
        HID-compliant system controller
    [Port 8] Generic USB Hub
      [Port 1] USB Input Device
        HID-compliant mouse
    [Port 9] USB Mass Storage Device
      ST1000LM 024 HN-M101MBB USB Device
    [Port 12] Intel(R) Wireless Bluetooth(R)
      Microsoft Bluetooth LE Enumerator
      Bluetooth Device (RFCOMM Protocol TDI)
      Microsoft Bluetooth Enumerator
        ...[생략]...
      Bluetooth Device (Personal Area Network)
    [Port 13] Wacom Tablet
      HID-Compliant Mouse
      HID-compliant vendor-defined device
      HID-compliant pen
      HID-compliant digitizer
Select filter to monitor (q to quit):

패킷 캡처를 할 장치를 선택하게 됩니다. 문제는, USBPcapCMD.exe 출력에는 어떤 장치를 모니터링하기 위한 식별자가 없다는 것입니다. 반면 Wireshark를 이용하면 다음과 같이 장치를 선택할 수 있는 번호를 함께 보여주는데,

usb_pcap_1.png

따라서, USBPcapCMD 명령어로 직접 필터를 걸고 싶으면 Wireshark를 통해 미리 번호를 알아내는 과정이 필요합니다. 일단, 필터링할 디바이스를 알아냈다면 "--devices" 옵션을 걸어,

// 관리자 권한으로 실행

"C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o -

USB 패킷을 캡처링할 수 있습니다. 예를 들어 위의 명령어는 "1번 장치" 즉, "USB Composite Device"에 연결된 기기의 USB 통신을 표준 출력으로 (알아볼 수 없는 바이너리 데이터 출력이지만) redirection시킵니다. (참고로, 제가 실습하는 "USB Composite Device"에는 하위에 "HID Keyboard Device"가 연결되어 있습니다.)

대개의 경우, 저런 식으로 화면에 redireciton시켜도 별 의미가 없으므로 패킷 데이터를 이해할 수 있는 해석 프로그램을 사용할 텐데 바로 그것이 Wireshark입니다. 그래서 실제로는 다음과 같이 사용하게 될 것입니다.

"C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - | "C:\Program Files\Wireshark\Wireshark.exe" -k -i -

그럼 Wireshark가 실행되면서 키보드가 눌릴 때마다 다음과 같이 "URB_INTERRUPT" 타입의 데이터가 캡처되는 것을 확인할 수 있습니다.

usb_pcap_2.png

물론, 여러분들이 표준 입력으로 들어오는 데이터를 받아들여 해석하는 프로그램을 만든다면 다음과 같이 실행할 수도 있습니다.

"C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - | ConsoleApp1.exe

그리고 들어오는 입력 데이터의 포맷은 다음과 같이 문서로 공개해 두고 있으니,

USBPcap Capture format specification.
; https://desowin.org/usbpcap/captureformat.html

C# 프로그램으로 작성해 본다면 대충 아래와 같은 식의 코드로 테스트할 수 있습니다.

using System;
using System.IO;
using System.Threading;

namespace ConsoleApp1
{
    class Program
    {
        static unsafe void Main(string[] args)
        {
            if (Console.IsInputRedirected == false)
            {
                Console.WriteLine("No input redirected");
                return;
            }

            using (BinaryReader br = new BinaryReader(Console.OpenStandardInput(8192)))
            {
                {
                    br.TryRead<pcap_hdr_t>(out pcap_hdr_t header);
                    Console.WriteLine(header.magic_number);
                    Console.WriteLine(header.version_major);
                    Console.WriteLine(header.version_minor);
                    Console.WriteLine(header.thiszone);
                    Console.WriteLine(header.sigfigs);
                    Console.WriteLine(header.snaplen);
                    Console.WriteLine(header.network);
                }

                int index = 1;

                while (true)
                {
                    if (br.TryRead<pcaprec_hdr_t>(out pcaprec_hdr_t record) == false)
                    {
                        break;
                    }

                    int pcapRecordDataSize = (int)record.incl_len;

                    //Console.WriteLine($"[{index}]");
                    //Console.WriteLine(record.ts_sec);
                    //Console.WriteLine(record.ts_usec);
                    //Console.WriteLine(record.incl_len);
                    //Console.WriteLine(record.orig_len);
                    int pcapPacketHeaderSize = sizeof(USBPCAP_BUFFER_PACKET_HEADER);
                    int dataLength = (int)pcapRecordDataSize - pcapPacketHeaderSize;

                    br.TryRead<USBPCAP_BUFFER_PACKET_HEADER>(out USBPCAP_BUFFER_PACKET_HEADER pcapPacket);
                    ReadFunction(index, br, pcapPacket, dataLength);

                    index++;
                }
            }

            Thread.Sleep(1000 * 10);
        }

        private static void ReadFunction(int index, BinaryReader br, USBPCAP_BUFFER_PACKET_HEADER pcapPacket, int dataLength)
        {
            Console.WriteLine($"[{index}]");

            byte[] buf = br.ReadBytes(dataLength);

            switch (pcapPacket.function)
            {
                case URB_FUNCTION.URB_FUNCTION_BULK_OR_INTERRUPT_TRANSFER:
                    if (pcapPacket.Direction == IRPDierction.PDO_TO_FDO)
                    {
                        Console.WriteLine(pcapPacket.Direction + ": " + dataLength);

                        byte code = buf[2];
                        if (code == 0)
                        {
                            Console.WriteLine("key up");
                        }
                        else
                        {
                            // https://gist.github.com/MightyPork/6da26e382a7ad91b5496ee55fdc73db2
                            if (code >= 0x4 && code <= 0x1d)
                            {
                                char ch = (char)(code - 4 + (short)'a');
                                Console.WriteLine(ch + " pressed");
                            }
                            else
                            {
                                Console.WriteLine("Key pressed");
                            }
                        }
                    }
                    break;

                default:
                    break;
            }
        }
    }
}

(첨부 파일은 위의 예제 코드를 포함합니다.)

참고로, 위의 ReadFunction 내의 코드는 키보드로부터 입력이 된 경우를 가정해 영문자 키에 한해 눌린 키를 모니터링하고 있습니다. 따라서 빌드 후 다음과 같이 실행하시면 영문 키보드가 눌릴 때마다 그에 대한 출력이 나오는 것을 확인할 수 있습니다.

// Wireshark + USBPcap 설치 후, "관리자 권한"으로 실행

c:\temp>"C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - | "E:\cloud_drive\Dropbox\articles\low_input\ConsoleApp1\ConsoleApp1\bin\Debug\netcoreapp3.1\ConsoleApp1.exe"
2712847316
2
4
0
0
65535
249
[1]
PDO_TO_FDO: 8
key up
[2]
[3]
PDO_TO_FDO: 8
d pressed
[4]
[5]
PDO_TO_FDO: 8
key up
[6]
[7]
PDO_TO_FDO: 8
s pressed
[8]
[9]
PDO_TO_FDO: 8
key up
[10]




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 5/13/2020 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 



2020-12-10 09시54분
정성태

[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12687정성태6/22/202119오류 유형: 729. Invalid data: Invalid artifact, java se app service only supports .jar artifact
12686정성태6/21/202143Java: 22. Azure - 자바(Java)로 만드는 Web App Service
12685정성태6/21/202151Java: 21. Azure Web App Service에 배포된 Java 프로세스의 메모리 및 힙(Heap) 덤프 뜨는 방법
12684정성태6/19/202141오류 유형: 728. Visual Studio 2022부터 DTE.get_Properties 속성 접근 시 System.MissingMethodException 예외 발생
12683정성태6/18/202165VS.NET IDE: 166. Visual Studio 2022 - Windows Forms 프로젝트의 x86 DLL 컨트롤이 Designer에서 오류가 발생하는 문제파일 다운로드1
12682정성태6/18/202172VS.NET IDE: 165. Visual Studio 2022를 위한 Extension 마이그레이션
12681정성태6/18/202153오류 유형: 727. .NET 2.0 ~ 3.5 + x64 환경에서 System.EnterpriseServices 참조 시 CS8012 경고
12680정성태6/18/202140오류 유형: 726. python2.7.exe 실행 시 0xc000007b 오류
12679정성태6/18/202196COM 개체 관련: 23. CoInitializeSecurity의 전역 설정을 재정의하는 CoSetProxyBlanket 함수 사용법파일 다운로드1
12678정성태6/17/202176.NET Framework: 1072. C# - CoCreateInstance 관련 Inteop 오류 정리파일 다운로드1
12677정성태6/17/202175VC++: 144. 역공학을 통한 lxssmanager.dll의 ILxssSession 사용법 분석파일 다운로드1
12676정성태6/16/202192VC++: 143. ionescu007/lxss github repo에 공개된 lxssmanager.dll의 CLSID_LxssUserSession/IID_ILxssSession 사용법파일 다운로드1
12675정성태6/16/202148Java: 20. maven package 명령어 결과물로 (war가 아닌) jar 생성 방법
12674정성태6/15/202193VC++: 142. DEFINE_GUID 사용법
12673정성태6/15/202151Java: 19. IntelliJ - 자바(Java)로 만드는 Web App을 Tomcat에서 실행하는 방법
12672정성태6/15/202141오류 유형: 725. IntelliJ에서 Java webapp 실행 시 "Address localhost:1099 is already in use" 오류
12671정성태6/15/202153오류 유형: 724. Tomcat 실행 시 Failed to initialize connector [Connector[HTTP/1.1-8080]] 오류
12670정성태6/13/202169.NET Framework: 1071. DLL Surrogate를 이용한 Out-of-process COM 개체에서의 CoInitializeSecurity 문제파일 다운로드1
12669정성태6/11/2021155.NET Framework: 1070. 사용자 정의 GetHashCode 메서드 구현은 C# 9.0의 record 또는 리팩터링에 맡기세요.
12668정성태6/11/2021165.NET Framework: 1069. C# - DLL Surrogate를 이용한 Out-of-process COM 개체 제작파일 다운로드2
12667정성태6/10/202198.NET Framework: 1068. COM+ 서버 응용 프로그램을 이용해 CoInitializeSecurity 제약 해결파일 다운로드1
12666정성태6/10/202176.NET Framework: 1067. 별도 DLL에 포함된 타입을 STAThread Main 메서드에서 사용하는 경우 CoInitializeSecurity 자동 호출파일 다운로드1
12665정성태6/9/2021144.NET Framework: 1066. Wslhub.Sdk 사용으로 알아보는 CoInitializeSecurity 사용 제약파일 다운로드1
12664정성태6/9/2021101오류 유형: 723. COM+ PIA 참조 시 "This operation failed because the QueryInterface call on the COM component" 오류
12663정성태6/9/2021128.NET Framework: 1065. Windows Forms - 속성 창의 디자인 설정 지원: 문자열 목록 내에서 항목을 선택하는 TypeConverter 제작파일 다운로드1
[1]  2  3  4  5  6  7  8  9  10  11  12  13  14  15  ...