USB协议分析进阶:用Wireshark解码GET DESCRIPTOR请求的隐藏信息
USB协议深度解析:Wireshark实战GET DESCRIPTOR请求的隐藏信息
当你在开发物联网设备或进行安全研究时,USB协议分析是不可或缺的技能。今天,我们就来深入探讨USB设备枚举过程中最关键的GET DESCRIPTOR请求,以及如何利用Wireshark这一强大工具,从看似简单的十六进制数据中挖掘出丰富的信息。
1. USB描述符基础与设备枚举流程
USB设备在与主机通信时,首先会经历一个称为"枚举"的过程。这个过程就像是设备向主机做自我介绍,告诉主机"我是谁"、"我能做什么"。而GET DESCRIPTOR请求,就是主机向设备索要这些"自我介绍"信息的方式。
USB描述符主要分为以下几种类型:
| 描述符类型 | 值(hex) | 描述 |
|---|---|---|
| DEVICE | 0x01 | 设备的基本信息,如厂商ID、产品ID等 |
| CONFIGURATION | 0x02 | 设备的配置信息,包括接口和端点描述符 |
| STRING | 0x03 | 可读的字符串信息,如厂商名称、产品名称等 |
| INTERFACE | 0x04 | 接口的属性和端点数量 |
| ENDPOINT | 0x05 | 端点的传输类型和方向 |
在Wireshark中,我们常见的GET DESCRIPTOR请求数据包通常以"80 06"开头。这个"80"表示这是一个从主机到设备的控制传输请求,"06"则代表GET DESCRIPTOR操作。
2. 解析GET DESCRIPTOR请求数据包
让我们以一个典型的GET DESCRIPTOR请求为例:"80 06 00 01 00 00 12 00"。这8个字节的Setup Data包含了丰富的信息:
bmRequestType (80):
- 最高位(1): 表示这是一个主机到设备的请求
- 6-5位(00): 标准请求
- 4-0位(00000): 接收者是设备
bRequest (06): GET DESCRIPTOR操作
wValue (00 01):
- 高字节(01): 描述符类型(DEVICE)
- 低字节(00): 描述符索引(通常为0)
wIndex (00 00): 对于设备描述符通常为0
wLength (12 00): 请求的描述符长度(18字节)
在Wireshark中,你可以通过以下步骤深入分析:
1. 在显示过滤器栏输入"usb.device_address==X" (X为目标设备地址) 2. 找到GET DESCRIPTOR请求的数据包 3. 点击"Setup Data"展开详细视图 4. 观察与数据部分(如"80 06 00 01 00 00 12 00")的联动高亮3. Wireshark高级分析技巧
3.1 使用树状视图联动分析
Wireshark的强大之处在于其树状视图与原始数据的联动功能。当你点击树状视图中的某个字段时,对应的原始数据会自动高亮显示。这对于理解协议字段与原始数据的对应关系非常有帮助。
例如:
- 点击"bRequest: GET DESCRIPTOR"会高亮第二个字节"06"
- 点击"wValue: 0x0100"会高亮第三和第四个字节"00 01"
3.2 自定义着色规则
为了更直观地识别不同类型的USB数据包,你可以设置自定义着色规则:
- 右键点击一个GET DESCRIPTOR请求数据包
- 选择"Colorize Conversation" > "USB"
- 为不同类型的描述符请求设置不同的颜色
3.3 使用显示过滤器精确定位
除了基本的设备地址过滤外,Wireshark还支持更复杂的显示过滤器:
# 过滤所有GET DESCRIPTOR请求 usb.bmRequestType == 0x80 && usb.bRequest == 0x06 # 过滤特定类型的描述符请求 usb.setup.wValue == 0x0100 # 设备描述符 usb.setup.wValue == 0x0200 # 配置描述符 usb.setup.wValue == 0x0300 # 字符串描述符4. 实战案例分析:解析异常设备行为
在实际工作中,我们经常会遇到设备枚举失败的情况。通过分析GET DESCRIPTOR请求和响应,我们可以快速定位问题所在。
常见问题排查步骤:
- 检查设备是否响应了GET DESCRIPTOR请求
- 验证响应的描述符长度是否与请求匹配
- 确认描述符内容是否符合USB规范
- 检查描述符中的关键字段(如bcdUSB、idVendor等)是否有效
例如,如果你发现设备在响应GET DESCRIPTOR请求时返回了STALL握手包,可能的原因包括:
- 请求的描述符类型设备不支持
- 请求的描述符索引超出范围
- 设备处于错误状态
在安全研究方面,异常的描述符内容可能暗示着潜在的恶意行为。一些需要特别关注的字段包括:
- 过长的描述符长度可能导致缓冲区溢出
- 异常的类代码或协议可能表示非标准功能
- 字符串描述符中的可疑内容
5. 高级技巧与工具集成
对于经常进行USB协议分析的用户,可以考虑以下进阶技巧:
使用USBPcap命令行工具:
# 捕获特定设备的USB流量 USBPcapCMD.exe -d \\.\USBPcap1 -o capture.pcap -f "device_address==255"编写Wireshark解析插件: 对于自定义的USB设备,可以编写Lua脚本增强Wireshark的解析能力。
结合其他工具分析:
- 使用USBlyzer进行更底层的分析
- 使用Sigrok进行硬件级别的信号捕获
自动化分析脚本: 使用Python的Scapy库处理捕获的USB数据包:
from scapy.all import * packets = rdpcap('usb_capture.pcap') for pkt in packets: if pkt.haslayer('USB'): if pkt[USB].bmRequestType == 0x80 and pkt[USB].bRequest == 0x06: print(f"GET DESCRIPTOR request for type: {pkt[USB].wValue >> 8}")
在实际项目中,我发现最有效的调试方法是在设备枚举失败时,同时捕获主机和设备端的日志,然后与Wireshark捕获的数据包进行交叉比对。这种方法多次帮助我快速定位了硬件和软件之间的协议兼容性问题。