USB流量分为键盘流量和鼠标流量。

键盘数据包的数据长度为8个字节，击键信息集中在第3个字节

USB协议的数据部分存在leftover capture域中

数据长度为八个字节，USB流量分为键盘数据包长度为八个字节，击键信息集中在第三个字节

tshark -r 流量包 -T fileds -e usb.capdata > usbdata.txt

提取出来后根据映射关系还原

去掉换行cat 1.txt | tr -s "\n" > 2.txt

mappings ={  映射关系 }

keyhex = []

with open('2.txt','r') as f:
    for x in f.readlines():
   keyhex.append( int(x.split(':')[2],16))

# print keyhex

passwd = ''

for x in keyhex:

    if x in mappings:
            passwd += mappings[x]

print passwd

zip文件格式的组成 压缩源文件数据区[文件头+文件数据+数据描述符+]{此处可重复多次}+核心目录+目录结束标识

核心目录区50 4b 01 02 

目录结束标识符 50 4b 05 06

binwalk 分析可以分析缺失的文件 比如缺失文件头

全局方式位标记 00 00 有无加密 这个更改可以改成未加密 09 00 在50 4b 01 02后的四位是两个版本号 下一个09 00是伪加密

   明文攻击 判断CRC32是否与加密文件中一致 若不一致 换个压缩工具 可能压缩算法不同

pkcrack 明文攻击工具Linux下 github上有

crc爆破，冗余校验码 crc32则表示会产生一个32bit  （8位十六进制数）的校验值，在产生crc32时，源数据块的每一位都参与了运算，因此即使数据块中只有一位发生改变也会的到不同的crc32值，利用这个原理我们可以直接爆破出加密文件的内容   

github上有爆破crc32的脚本