Pomocí Wireshark můžete zachytit provoz USB.
Z jeho wiki:
Chcete-li vypsat provoz USB v systému Linux, potřebujete
usbmonmodul, který existuje od Linuxu 2.6.11 . Informace o tomto modulu jsou k dispozici v/usr/src/linux/Documentation/usb/usbmon.txtve zdrojovém stromu Linuxu. V závislosti na distribuci, kterou používáte, a na verzi této distribuce může být tento modul zabudován do jádra nebo může být zaváděcím modulem; pokud se jedná o načítatelný modul, v závislosti na distribuci, kterou používáte, a verzi této distribuce, může nebo nemusí být načten za vás. Pokud se jedná o načítatelný modul a nenačtený, budete jej muset načíst pomocí příkazumodprobe usbmonkterý musí být spuštěn jako root.
Vydání libpcap starší než 1.0 neobsahují podporu USB, takže budete potřebovat alespoň libpcap 1.0.0 .
Pro verze jádra před 2.6.21 , jediný dostupný mechanismus zachycování provozu USB je textový mechanismus, který omezuje celkové množství dat zachycených pro každý nezpracovaný blok USB na přibližně 30 bajtů. Neexistuje způsob, jak to změnit bez záplatování jádra. Pokud debugfs již není připojen na
/sys/kernel/debug, ujistěte se, že je tam připojen, zadáním následujícího příkazu jako root:mount -t debugfs / /sys/kernel/debugPro verzi jádra 2.6.21 a novější , existuje binární protokol pro sledování USB paketů, který nemá toto omezení velikosti. Pro tuto verzi jádra budete potřebovat libpcap 1.1.0 nebo novější , protože podpora libpcap 1.0.x USB používá, ale nezpracovává správně, mechanismus mapování paměti pro provoz USB, který libpcap použije, pokud je k dispozici - nelze jej znepřístupnit, takže jej libpcap vždy použije.
V libpcap 1.0.x mají zařízení pro nahrávání na USB název
usbn,kde n je číslo autobusu. V libpcap 1.1.0 a novějších mají názevusbmonn.Budete také potřebovat Wireshark 1.2.x nebo novější .