성태의 닷넷 이야기
홈 주인
모아 놓은 자료
프로그래밍
질문/답변
사용자 관리
사용자
메뉴
아티클
외부 아티클
유용한 코드
온라인 기능
MathJax 입력기
최근 덧글
[정성태] Java - How to use the Foreign Funct...
[정성태] 제가 큰 실수를 했군요. ^^; Delegate를 통한 Bein...
[정성태] Working with Rust Libraries from C#...
[정성태] Detecting blocking calls using asyn...
[정성태] 아쉽게도, 커뮤니티는 아니고 개인 블로그입니다. ^^
[정성태] 질문이 잘 이해가 안 됩니다. 우선, 해당 소스코드에서 ILis...
[양승조
] var대신 dinamic으로 선언해서 해결은 했습니다. 맞는 해...
[양승조
] 또 막혔습니다. ㅠㅠ var list = props[i].Ge...
[양승조
] 아. 감사합니다. 어제는 안됐던것 같은데....정신을 차려야겠네...
[정성태] "props[i].GetValue(props[i])" 코드에서 ...
글쓰기
제목
이름
암호
전자우편
HTML
홈페이지
유형
제니퍼 .NET
닷넷
COM 개체 관련
스크립트
VC++
VS.NET IDE
Windows
Team Foundation Server
디버깅 기술
오류 유형
개발 환경 구성
웹
기타
Linux
Java
DDK
Math
Phone
Graphics
사물인터넷
부모글 보이기/감추기
내용
<div style='display: inline'> <h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>C# - (Wireshark의) USBPcap을 이용한 USB 패킷 모니터링</h1> <p> 트위터를 통해, USB 패킷을 저장 후 다시 재생하는 github repo를 알게 되었습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > JohnDMcMaster / usbrply ; <a target='tab' href='https://github.com/JohnDMcMaster/usbrply'>https://github.com/JohnDMcMaster/usbrply</a> </pre> <br /> 일단 위의 소스 코드는, 리눅스 환경에서 python을 이용해 replay하는 건데 제가 테스트한 바로는 윈도우 환경에서는 동작하지 않았습니다. (혹시 윈도우에서의 동작 방법을 성공하신 분은 덧글 부탁드립니다. ^^)<br /> <br /> <hr style='width: 50%' /><br /> <br /> 그런데, 사실 저게 중요한 것이 아니고 저 글에서 나온 Wireshark의 플러그인으로 들어가는 USBPcap이 더 의미가 있습니다. Wireshark를 설치하면 간편하게 USBPcap도 함께 설치할 수 있지만 원래는 독자적으로 repo를 가지고 있는 도구입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > USBPcap - USB Packet capture for Windows ; <a target='tab' href='https://desowin.org/usbpcap/'>https://desowin.org/usbpcap/</a> desowin / usbpcap ; <a target='tab' href='https://github.com/desowin/usbpcap'>https://github.com/desowin/usbpcap</a> </pre> <br /> 간단하게 그냥 Wireshark를 통해 설치한 경우 "C:\Program Files\Wireshark\extcap" 경로에 USBPcapCMD.exe 실행 파일이 놓이는데, 이를 실행하면 다음과 같은 식으로 USB 장치를 열거하게 되고,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > C:\Program Files\Wireshark\extcap> <span style='color: blue; font-weight: bold'>USBPcapCMD.exe</span> Following filter control devices are available: 1 \\.\USBPcap1 \??\USB#ROOT_HUB30#4&1148bc98&0&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8} [Port 7] USB Composite Device USB Input Device HID Keyboard Device USB Input Device HID-compliant consumer control device HID-compliant system controller [Port 8] Generic USB Hub [Port 1] USB Input Device HID-compliant mouse [Port 9] USB Mass Storage Device ST1000LM 024 HN-M101MBB USB Device [Port 12] Intel(R) Wireless Bluetooth(R) Microsoft Bluetooth LE Enumerator Bluetooth Device (RFCOMM Protocol TDI) Microsoft Bluetooth Enumerator ...[생략]... Bluetooth Device (Personal Area Network) [Port 13] Wacom Tablet HID-Compliant Mouse HID-compliant vendor-defined device HID-compliant pen HID-compliant digitizer Select filter to monitor (q to quit): </pre> <br /> 패킷 캡처를 할 장치를 선택하게 됩니다. 문제는, USBPcapCMD.exe 출력에는 어떤 장치를 모니터링하기 위한 식별자가 없다는 것입니다. 반면 Wireshark를 이용하면 다음과 같이 장치를 선택할 수 있는 번호를 함께 보여주는데,<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='usb_pcap_1.png' src='/SysWebRes/bbs/usb_pcap_1.png' /><br /> <br /> 따라서, USBPcapCMD 명령어로 직접 필터를 걸고 싶으면 Wireshark를 통해 미리 번호를 알아내는 과정이 필요합니다. 일단, 필터링할 디바이스를 알아냈다면 "--devices" 옵션을 걸어,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // 관리자 권한으로 실행 "C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - </pre> <br /> USB 패킷을 캡처링할 수 있습니다. 예를 들어 위의 명령어는 "1번 장치" 즉, "USB Composite Device"에 연결된 기기의 USB 통신을 표준 출력으로 (알아볼 수 없는 바이너리 데이터 출력이지만) redirection시킵니다. (참고로, 제가 실습하는 "USB Composite Device"에는 하위에 "HID Keyboard Device"가 연결되어 있습니다.)<br /> <br /> 대개의 경우, 저런 식으로 화면에 redireciton시켜도 별 의미가 없으므로 패킷 데이터를 이해할 수 있는 해석 프로그램을 사용할 텐데 바로 그것이 Wireshark입니다. 그래서 실제로는 다음과 같이 사용하게 될 것입니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > "C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - | "C:\Program Files\Wireshark\Wireshark.exe" -k -i - </pre> <br /> 그럼 Wireshark가 실행되면서 키보드가 눌릴 때마다 다음과 같이 "URB_INTERRUPT" 타입의 데이터가 캡처되는 것을 확인할 수 있습니다.<br /> <br /> <img onclick='toggle_img(this)' class='imgView' alt='usb_pcap_2.png' src='/SysWebRes/bbs/usb_pcap_2.png' /><br /> <br /> 물론, 여러분들이 표준 입력으로 들어오는 데이터를 받아들여 해석하는 프로그램을 만든다면 다음과 같이 실행할 수도 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > "C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - | ConsoleApp1.exe </pre> <br /> 그리고 들어오는 입력 데이터의 포맷은 다음과 같이 문서로 공개해 두고 있으니,<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > USBPcap Capture format specification. ; <a target='tab' href='https://desowin.org/usbpcap/captureformat.html'>https://desowin.org/usbpcap/captureformat.html</a> </pre> <br /> C# 프로그램으로 작성해 본다면 대충 아래와 같은 식의 코드로 테스트할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > using System; using System.IO; using System.Threading; namespace ConsoleApp1 { class Program { static unsafe void Main(string[] args) { if (Console.IsInputRedirected == false) { Console.WriteLine("No input redirected"); return; } using (BinaryReader br = new BinaryReader(Console.OpenStandardInput(8192))) { { br.TryRead<pcap_hdr_t>(out pcap_hdr_t header); Console.WriteLine(header.magic_number); Console.WriteLine(header.version_major); Console.WriteLine(header.version_minor); Console.WriteLine(header.thiszone); Console.WriteLine(header.sigfigs); Console.WriteLine(header.snaplen); Console.WriteLine(header.network); } int index = 1; while (true) { if (br.TryRead<pcaprec_hdr_t>(out pcaprec_hdr_t record) == false) { break; } int pcapRecordDataSize = (int)record.incl_len; //Console.WriteLine($"[{index}]"); //Console.WriteLine(record.ts_sec); //Console.WriteLine(record.ts_usec); //Console.WriteLine(record.incl_len); //Console.WriteLine(record.orig_len); int pcapPacketHeaderSize = sizeof(USBPCAP_BUFFER_PACKET_HEADER); int dataLength = (int)pcapRecordDataSize - pcapPacketHeaderSize; br.TryRead<USBPCAP_BUFFER_PACKET_HEADER>(out USBPCAP_BUFFER_PACKET_HEADER pcapPacket); ReadFunction(index, br, pcapPacket, dataLength); index++; } } Thread.Sleep(1000 * 10); } private static void ReadFunction(int index, BinaryReader br, USBPCAP_BUFFER_PACKET_HEADER pcapPacket, int dataLength) { Console.WriteLine($"[{index}]"); byte[] buf = br.ReadBytes(dataLength); switch (pcapPacket.function) { case URB_FUNCTION.URB_FUNCTION_BULK_OR_INTERRUPT_TRANSFER: if (pcapPacket.Direction == IRPDierction.PDO_TO_FDO) { Console.WriteLine(pcapPacket.Direction + ": " + dataLength); byte code = buf[2]; if (code == 0) { Console.WriteLine("key up"); } else { // https://gist.github.com/MightyPork/6da26e382a7ad91b5496ee55fdc73db2 if (code >= 0x4 && code <= 0x1d) { char ch = (char)(code - 4 + (short)'a'); Console.WriteLine(ch + " pressed"); } else { Console.WriteLine("Key pressed"); } } } break; default: break; } } } } </pre> <br /> (<a target='tab' href='https://www.sysnet.pe.kr/bbs/DownloadAttachment.aspx?fid=1587&boardid=331301885'>첨부 파일은 위의 예제 코드를 포함</a>합니다.)<br /> <br /> 참고로, 위의 ReadFunction 내의 코드는 키보드로부터 입력이 된 경우를 가정해 영문자 키에 한해 눌린 키를 모니터링하고 있습니다. 따라서 빌드 후 다음과 같이 실행하시면 영문 키보드가 눌릴 때마다 그에 대한 출력이 나오는 것을 확인할 수 있습니다.<br /> <br /> <pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' > // Wireshark + USBPcap 설치 후, "관리자 권한"으로 실행 c:\temp>"C:\Program Files\Wireshark\extcap\USBPcapCMD.exe" -d \\.\USBPcap1 --devices 1 -o - | "c:\temp\ConsoleApp1.exe" 2712847316 2 4 0 0 65535 249 [1] PDO_TO_FDO: 8 key up [2] [3] PDO_TO_FDO: 8 d pressed [4] [5] PDO_TO_FDO: 8 key up [6] [7] PDO_TO_FDO: 8 s pressed [8] [9] PDO_TO_FDO: 8 key up [10] </pre> </p><br /> <br /><hr /><span style='color: Maroon'>[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]</span> </div>
첨부파일
스팸 방지용 인증 번호
1406
(왼쪽의 숫자를 입력해야 합니다.)