$34 دليل مراقب USB: التقاط حركة الماوس وضغطة المفاتيح باستخدام وا이어شارك

$34 دليل مراقب USB: التقاط حركة الماوس وضغطة المفاتيح باستخدام وا이어شارك

دليل USB Sniffer: التقاط حركة الماوس وضغوطات لوحة المفاتيح باستخدام Wireshark

في هذا المشروع، نستكشف كيف يمكن استخدام جهاز تصيد USB لمراقبة وتحليل الاتصال عبر USB بين الكمبيوتر وأجهزة الإدخال الشائعة مثل الفأرة ولوحة المفاتيح. من خلال وضع جهاز تصيد USB بين جهاز USB والكمبيوتر، يمكن التقاط جميع حزم USB التي تمر وتحليلها في الوقت الحقيقي باستخدام Wireshark.

توضح هذه الدورة كيفية مراقبة تحركات الماوس، والنقرات على الأزرار، وحتى ضغطات المفاتيح (بما في ذلك كلمات المرور) على مستوى بروتوكول USB. يهدف المشروع إلى الأغراض التعليمية لفهم كيفية عمل أجهزة واجهة الإنسان USB (HID) من الداخل ولماذا تعتبر الأمان الجسدي مهمة مثل الأمان البرمجي.

ما هو جهاز التقاط بيانات USB؟

جهاز استشعار USB هو جهاز صلب يجلس بين جهاز USB (مثل الفأرة أو لوحة المفاتيح) وجهاز الكمبيوتر المضيف. يقوم بتمرير البيانات بشكل شفاف حتى يعمل الجهاز بشكل طبيعي، مع التقاط وإظهار حزم بيانات USB من خلال واجهة مراقبة منفصلة في الوقت نفسه.

في هذا المشروع، يعمل جهاز التقاط بيانات USB كجهاز تجاوز:

تتصل الفأرة أو لوحة المفاتيح USB بالجهاز المراقب
الم sniffers يتصل بالكمبيوتر
تذهب وصلة USB منفصلة من جهاز الاستنشاق إلى حاسوب مراقبة يعمل ببرنامج Wireshark.

يمكن التقاط جميع حركة مرور USB المارة بين الجهاز والكمبيوتر وفك تشفيرها دون التأثير على التشغيل العادي :contentReference[oaicite:0]{index=0}.

المكونات الرئيسية المستخدمة

أجهزة المراقبة USB

المستشعر USB المستخدم في هذا المشروع يعتمد على تصميم FPGA تم إنشاؤه بواسطة أليكس تاراسوف. يتضمن التصميم الكامل البرنامج الثابت وملفات لوحات الدوائر المطبوعة وأدوات البرمجيات. الوحدة التجارية المستخدمة هنا تأتي محملة مسبقًا بالبرنامج الثابت، لذلك لا يحتاج الأمر إلى تهيئة أو ضبط قبل الاستخدام.

داخليًا، يقوم جهاز الكشف بالوصول إلى خطوط البيانات التفاضلية USB ويعكس الحزم إلى واجهة USB منفصلة يمكن ل Wireshark مراقبتها.

ماوس ولوحة مفاتيح (أجهزة USB HID)

كلاً من الفأرة ولوحة المفاتيح هما أجهزة واجهة إنسانية USB (HID). تقوم هذه الأجهزة بإرسال تقارير دورية إلى الكمبيوتر المضيف تصف حالتها:

الفأرة: حالة الأزرار، حركة X، حركة Y
لوحة المفاتيح: مفاتيح التعديل ورموز مسح المفاتيح

تُرسل هذه التقارير بصيغة واضحة وغير مشفرة عبر USB، ولهذا السبب يمكن التقاطها بواسطة جهاز رصد.

كمبيوتر مع وايرشارك

تُستخدم Wireshark لالتقاط وتحليل حزم USB. على نظام Windows، يتطلب التقاط USB مكونات إضافية لتمكين الوصول إلى حركة مرور USB على مستوى برنامج التشغيل.

التوصيل والاتصال

جهاز سنافر USB متصل بشكل متسلسل بين جهاز USB والكمبيوتر.

قم بتوصيل الماوس أو لوحة المفاتيح بمنفذ إدخال USB لجهاز الاستشعار.
قم بتوصيل منفذ USB الخاص بجهاز الاستشعار بالكمبيوتر
قم بتوصيل منفذ USB المراقبة للموصل بجهاز كمبيوتر مماثل أو آخر يعمل على Wireshark

يستمر جهاز USB في العمل بشكل طبيعي بينما يتم عكس حركته إلى منفذ المراقبة.

تثبيت البرمجيات المطلوبة

تنصيب ويشرك

يجب تثبيت Wireshark على الكمبيوتر المراقب. خلال التثبيت على نظام ويندوز، من الضروري تفعيل مكون دعم التقاط USB. بدون هذا السائق، لا يمكن التقاط حركة مرور USB.

بمجرد التثبيت، ستعرض Wireshark واجهات التقاط USB بجانب واجهات الشبكة.

برنامج تشغيل USB Sniffer (ويندوز)

يتطلب الأمر وجود برنامج مساعد صغير على نظام ويندوز للسماح لبرنامج وايرشارك بالوصول إلى بيانات رصد USB من العتاد. يجب وضع هذا البرنامج التنفيذي في مسار النظام (على سبيل المثال، مباشرة تحت محرك الأقراص C:) حتى يتمكن وايرشارك من التواصل مع جهاز الرصد.

التقاط بيانات USB في Wireshark

بعد تشغيل ويشارك، اختر واجهة جهاز التجسس على USB وابدأ في الالتقاط. في البداية، قد يظهر كمية كبيرة من حركة مرور USB غير ذات الصلة.

تطبيق فلاتر USB

لتركز فقط على بيانات USB ذات الصلة، يتم تطبيق فلتر عرض:

usbll

يعرض هذا الفلتر حزم طبقة رابط USB فقط، والتي تحتوي على المعاملات الخام USB المتبادلة بين الجهاز والأجهزة المضيفة.

يتطلب الأمر مزيدًا من التصفية لأن USB ينتج حجمًا كبيرًا جدًا من البيانات.

تصفية حسب معرف الحزمة (PID)

يمكن تحديد حزم بيانات الماوس ولوحة المفاتيح بواسطة معرفات الحزم المحددة (PID). في هذا المشروع، تم ملاحظة معرفات الحزم ذات الصلة كالتالي:

0xC3
0x4B

يمكن تصفيتها في Wireshark باستخدام:

usbll.pid == 0xC3 || usbll.pid == 0x4B

يقوم هذا الفلتر بعزل حزم تقارير HID القادمة من الماوس أو لوحة المفاتيح.

فهم بيانات الفأر

عند تحريك الفأرة أو النقر عليها، يتم إرسال تقارير HID باستمرار. تحتوي كل تقرير على عدة بايتات:

رقم التقرير
حالات الأزرار (يسار، يمين، وسط)
حركة المحور السيني
حركة المحور Y

من خلال مراقبة القيم المتغيرة للبايتات في وايرشارك، يمكن استنتاج اتجاه وسرعة حركة الفأرة. حتى من دون النقر، فإن الحركة وحدها تُنتج نشاط USB مرئي.

فهم بيانات لوحة المفاتيح

تُرسل بيانات لوحة المفاتيح كتقارير HID تحتوي على رموز المسح بدلاً من القيم ASCII. كل مفتاح يتوافق مع معرف استخدام HID محدد.

على سبيل المثال:

0x04→ الحرف أ
0x05→ الحرف ب
0x0E→ الحرف ك

تحدد الأحرف الكبيرة والصغيرة بواسطة مفاتيح التعديل مثل شيفت، التي تظهر في بايتات منفصلة من التقرير.

تولد مفاتيح الوظائف مثل F12 أيضًا رموز مسح فريدة يمكن ملاحظتها مباشرة في الحزم الملتقطة.

تداعيات الأمن

يوضح هذا المشروع بوضوح أن حركة مرور USB HID غير مشفرة. إذا تم وضع جهاز ضار فعليًا بين لوحة المفاتيح والكمبيوتر، فإنه يمكنه التقاط كل ضغطة مفتاح، بما في ذلك أسماء المستخدمين وكلمات المرور.

لهذا السبب تعد أمان USB والأجهزة الموثوقة والتحكم في الوصول الجسدي ضرورية في البيئات الحساسة.

ملخص العرض

في هذه العرض، تم التقاط وفك تشفير ما يلي بنجاح:

حركة الفأرة ونشاط الأزرار
ضغطات المفاتيح الفردية على لوحة المفاتيح
مفاتيح الوظائف ومفاتيح التعديل
الكلمات المكتوبة بالكامل على لوحة المفاتيح

يعمل جهاز USB sniffer بشكل غير مرئي، مما يجعل اكتشافه صعباً دون فحص جسدي.

خاتمة

يوفر مشروع جهاز التقاط USB عرضًا عمليًا قويًا لكيفية عمل اتصالات USB في أدنى مستوياتها. من خلال دمج أجهزة التقاط مخصصة مع Wireshark، يصبح من الممكن رؤية كيفية تواصل أجهزة الإدخال مع الحواسيب بدقة.

المشروع مثالي لتعلم بروتوكولات USB، وهياكل تقارير HID، واعتبارات الأمان في العالم الحقيقي. بينما تم عرض ذلك باستخدام فأرة ولوحة مفاتيح، تنطبق نفس المبادئ على العديد من أجهزة USB الأخرى.