문제에서 USB 통신 패킷이 하나 주어진다.
요즘 포렌식 카테고리에서 자주 볼 수 있는 USB 패킷 분석 문제인데, 이번 Tenable CTF에 나온 형식은 조금 다르다. 이전까지 내가 대회 또는 Write-up들을 통해 본 문제들은 USB 장비의 입력 데이터가 Leftover Capture Data 라는 이름으로 Wireshark 가 분류하고 있었기 때문에 usb.capdata 필드를 통해서 해당 값들을 가져올 수 있었다.
하지만 이 문제에서는 HID Data 로 분류되어 있어 위의 방법으로는 입력 값들을 가져올 수 가 없었다. 결국 Leftover Capture Data도 HID table 을 통해 키를 매칭시키는 값이고, offset이나 크기도 동일한데Wireshark 가 다르게 분류하는 이유, 즉 Leftover Capture Data 와 HID Data의 차이점을 알 수가 없었다.
결국 HID Data 값을 따로 분류하는게 문제였는데, usbhid.data 필드를 통해 분류가 가능했다. 이후로는 Leftover Capture Data 와 동일하게 HID table 과 값을 매칭시켜서 입력 값을 복구하는 것이 가능했다.
