forum.system-cfg.com

Bonjour les Geeks !
Certains d'entre vous connaissent ce genre d'appareil ?
https://www.totalphase.com/solutions/ap ... -benefits/

C'est un sniffer USB en version matériel, très utile par exemple pour "écouter" ce qui se passe entre un PC et un périph USB.
Etant de nature assez curieux, je souhaiterais savoir s'il est possible de l'exploiter avec Linux.

Tu peux déjà commencer à le faire en soft.

Il ne me reste plus qu'a franchir cette étape:

Wireshark est très bien, mais sous Windows, pour tout ce qui est spy communication, je conseille également HHD. Il y a une version d'evaluation qui permet déjà de faire des trucs pas mal du tout. Et si on veut du matériel, le Saleae (le vrai, pas les clones chinois à 3 balles) est bien aussi.

Merci pour les liens.

En fait ce qui m'intéresse, c'est juste un appareil espionner les communications USB, comme celui que j'ai montré en début de post, ce qui est totalement different de l'analyseur logique.

Par exemple, est-il possible d'intercepter le mot de passe d'un fichier Zip qui se trouverait sur support USB, raccordé à un PC à travers cet appareil ?

Tu te compliques la vie. L'analyseur logiciel, typiquement le HHD en version d'évaluation, ou Wireshark, te sortira toutes les trames USB, en live et dans les deux sens. Par ailleurs, le Saleae a un interpréteur USB qui te sort les trames interprétées aussi.

Mais le mot de passe d'un fichier zip ne passera jamais sur ta ligne USB, s'il s'agit d'un media de stockage. Le fichier zip est chargé chiffré en ram et décrypté en ram. Un keylogger sera plus efficace ...

Si tu nous expliques exactement ton scénario, je peux te donner la manière de procéder.

Il y aussi le bus pirate qui capture les trames de tous les protocoles existants

Comme le dit Fool-Duplex le mot de passe d'un fichier zip ne passe absolument pas par l'USB

Wireshark me refuse la capture des paquets USB (cf. screenshot, j'ai fait ce qui m'es dit, sans résultat).
Est-il possible de n'afficher que les paquets entrants ou sortants ?

Mon scénario ne relève que de la pure curiosité: est-ce possible de reconstituer une image *.*bmp transitant sur USB en capturant ses octets ?

T'as essayé tout simplement de faire un "sudo wireshark" ?

Même résultat en faisant un "sudo wireshark":

Tu n'as pas la même erreur (les 2 premières lignes). Là il te dit "No such file or directory" et pas une erreur de permissions comme avant.
Il faudrait voir ce qui existe dans /sys/kernel/débug/usbmon

Vérification faite, il me manque le dossier "usbmon" et son contenu.

Suivant ta distribution, la version de ton kernel, ... Il y a d'autres choses à faire (bienvenue sous linux). A voir ici.

Ma distro est Linux Mint (basé Ubuntu) et dont le noyau est dans sa version 5.4.0-72-generic
J'ai aussi la version 1.8.1-6ubuntu1.18.04.2 de Libcap0.8

Cela fonctionne, car il me manquait des paquets, merci les gars !!!

Heureux que ça fonctionne

BusPirate est sympathique, mais ça s'arrête là. Trop lent, pas de paire différentielle, bref inutile pour faire quoi que ce soit sur un bus moderne.

Reconstituer un fichier .BMP qui passe sur le bus USB, ouais, mais il va être noyé en petits morceaux dans les multiples couches protocolaires et encore, seulement si la source transmet en clair. Par exemple, si c'est un disque externe bitlocké, aucune chance.

Espionner le bus USB est par contre très intéressant pour les périphériques de fabricants qui ne veulent pas partager ou qui sont trop paresseux pour supporter leurs produits. Je pense par exemple à un truc comme les machines Silhouette, dont le business model est de vendre très cher des accessoires propriétaires et des plug-ins pour leur logiciel de base, lequel ne sait rien faire. Avec le reverse de la communication USB, gros doigt aux preneurs d'otage en tous genres.

Autre excellent example : https://www.hamrick.com/ (Grâce à eux, mon scanner Agfa de 1998 fonctionne à merveille sur ma machine Windows 10 64 bits)