Jump to content

    

USB сниффер (анализ данных)

Добрый день.

Для анализа USB трафика использую программный сниффер USB Analyzer by Eltima Software.

Каждый пакет размером 64 байта видится в программе как 2 события ("Down" и "Up" в колонке Direction), что соответствует двум другим колонкам "to HCD" и "from HCD".

Host Controller Driver - как я понял.

Объясните, пожалуйста, максимально подробно что это за события и какое из них брать за фактическое - чтобы понимать очередность прихода пакетов и временные задержки между ними (иначе они идут там все вперемешку).

Производитель так описывает (все равно ничего не понимаю):

Quote

Pair
Data monitoring is performed in two directions: from and to the USB device. Click “Pair” button to switch between the corresponding input/output packets.

Нажимая на "Pair" как раз и происходит переключение между "Down" и "Up" (и соответственно между "to HCD" и "from HCD")

Sniffer.png

Share this post


Link to post
Share on other sites

Заметил еще одну особенность - в большинстве случаев данные этих "событий" совпадают, но не всегда (как на скриншоте ниже - данные "to HCD" и "from HCD" кардинально отличаются):

 

Sniffer2.png

Edited by Vladx64

Share this post


Link to post
Share on other sites
2 минуты назад, Vladx64 сказал:

Заметил еще одну особенность - в большинстве случаев данные этих "событий" совпадают, но не всегда:

Найдите в сети описание шины USB и протокола обмена по ней и не гадайте на кофейной гуще.

Share this post


Link to post
Share on other sites

Ценность программного "сниффера" более чем сомнительна. Он берет всю информацию от драйвера, и толку от нее, как правило, мало. Для более-менее серьезной работы нужен аппаратный сниффер ...

Share this post


Link to post
Share on other sites
1 hour ago, kovigor said:

Он берет всю информацию от драйвера, и толку от нее, как правило, мало.

А вот и нет! Я, например, так "реверсил" протокол турелей edmund optics: эти сволочи не открывали протокол, а т.к. никаких примеров, как работать с их колесами, не было, пришлось в игровой приставке при помощи wireshark реверсить!

Зато получилось и все работает.

Возможно, здесь тоже человеку требуется отреверсить протокол общения компьютера с неизвестной железякой, а драйвера есть только под прошивку для игровых приставок!

Share this post


Link to post
Share on other sites

Чтобы получить ответы на мои вопросы, насколько я понимаю, необходимо не глубокое понимание самого USB, а понимание работы самого сниффера (каким образом вообще происходит перехват) и его взаимодействия с драйвером USB. В этих вопросах я совсем ничего не смыслю, потому и спрашиваю.

 

Share this post


Link to post
Share on other sites
16 минут назад, Vladx64 сказал:

Чтобы получить ответы на мои вопросы, насколько я понимаю, необходимо не глубокое понимание самого USB, а понимание работы самого сниффера

Это то же самое разрабатывать электрическую схему не зная закона Ома, но зная как подключить щупы к мультиметру  :biggrin:

Если будете знать как работает USB, то поймёте вывод снифера. Ведь цель разработки снифера - это не учить людей программированию под винду (как там что-то перехватывать), их цель - помочь в отладке работы USB людям, знающим как работает USB-шина.

Share this post


Link to post
Share on other sites

Как раз наоборот. Чтобы получить ответы на вопросы, необходимо глубокое понимание самого протокола(ов) USB.  Раз: http://perscom.ru/usb/99-usb-protocol Два:http://we.easyelectronics.ru/electro-and-pc/interfeys-usb-esche-nemnogo-teorii.html ну и, разумеется https://ru.wikipedia.org/wiki/USB

Share this post


Link to post
Share on other sites

Возьмите лучше правильный сниффер - называется USBLiser. Там совершенно прозрачный вывод, все понятно - что куда и откуда передается, между какими драйверами или железом. И фильтр можно включить, чтобы лишние транзакции не видеть. Для свежих виндов нужна версия 2.0 или старше.

Share this post


Link to post
Share on other sites

USBLyzer

Share this post


Link to post
Share on other sites
Можно почитать
Гук М. Энциклопедия. Шины PCI, USB и FireWire.

Share this post


Link to post
Share on other sites

основном очень нравился и пользовался SysNucleus USBTrace. 
иногда он глючил по интерфейсу, что-то в IE делал. апдейтил или резетил. 
(похоже интерфейс что-то от IE исппользовал)

еще иногда порт подхватывал не с первого раза,
а сейчас - на моем ноуте ваще перестал подхватывать порт.
 

так-что последние разы, тоже пользовался USBlyzer.
 

еще рекомендую ebay, прикупил там beagle usb480, еще синенький, за 100-200 сотен.
продавец продавал как не рабочий, но по факту, что-то там подгорело, или х.з.
кажется не с каждым USB кабелем работает. 

но на практике, usb480 завис в товарища, по ходу никто им не пользуется,
и софт там кой-то мега-кривоват, как и у всего totalphase. 
сложилось мнение что и софт упакован PERL2EXE/PY2EXE, и писали такие-же деятели скриптов. 


но так, на ebay бывает и интересное.

Edited by carver

Share this post


Link to post
Share on other sites
11 часов назад, carver сказал:

прикупил там beagle usb480, еще синенький, за 100-200 сотен.

10000-20000? Гривна настолько упала?

Share this post


Link to post
Share on other sites
40 минут назад, Сергей Борщ сказал:

10000-20000? Гривна настолько упала?

Если вам интерестно, пересмотрел в хистори.
$95 + freeship по америке, и индикативно + $4.90 баксов пересылка в украину(цена с npshopping.com).
слава богу, пока не европа, 20 еврового лимита еще нет, растаможки небыло.

гривнах, не помню, 16 год, уже курс по 27 был где-то.

но такие лоты  практически не попадаются.
разве что опять какой-то боинг - индусам на аутсорс что передаст.

 

WeChat Screenshot_20190731120146.png

 

других анализаторов не видел, но ИМНО это что-то типа "народного"

10баксового лигик-аналайзера, и софт примерно такой-же.

тут где-то был чей-то старый пост, 5-10 летней давности, там похожее мнение. 
но я не эксперт. просто софт удивил.

Edited by carver

Share this post


Link to post
Share on other sites
1 час назад, carver сказал:

Если вам интерестно, пересмотрел в хистори.

Абсолютно неинтересно. Режет слух сочетание "сто-двести сотен".

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now