USBMON(U盘读写保护软件)

　　USBMON绿色版是一款非常好用的U盘读写保护软件，能够为帮助用户对您的U盘进行系统保护，预防病毒以及其它非法手段入侵U盘并对其进数据改写；同时它也提供了U盘非物理写保护功能，此功能主要通过系统保护的方法,设置US设备处理只读状态,但这种设定只在此应用系统里才会生效,这不同于盘的写保护开天应用写保护与移除写保护的生效；而程序的写保护功能是插入U盘时就会启动，非常便捷；sbmon是指内核中的一种功能，用于收集USB总线上I/O的痕迹，此功能类似于tcpdump或Ethereal等网络监视工具使用的数据包套接字，也可以使用诸如usbdump或USBMon之类的工具来检查usbmon产生的原始跟踪；需要的用户可以下载体验

软件功能

　　USBMON支持对用户的U盘进行保护，并且能够有效的禁止一切非法数据修改

　　它的开发非常有助于用户在使用U盘时能够安全的读取U盘数据

　　sbmon将特定于外围设备的驱动程序的请求报告给主机控制器驱动程序（HCD）

　　如果HCD有故障，usbmon报告的跟踪可能与总线事务不完全对应，这与tcpdump的情况相同。

　　当前实现了两个API：文本和二进制，二进制API可通过/dev名称空间中的字符设备使用，并且是ABI。

软件特色

　　总线号，设备地址和端点是十进制数，但为了便于读者阅读，它们可能具有前导零。

　　URB状态字：这可以是一个字母，也可以是多个用冒号分隔的数字：URB状态，间隔，起始帧和错误计数。

　　与地址一词不同，所有保存状态的字段都是可选的，仅针对中断和同步URB打印间隔

　　仅对于同步URB打印起始帧，错误计数仅针对同步回调事件打印。

　　状态字段是一个十进制数字，有时是负数，代表URB的状态字段。

　　该字段对于提交没有任何意义，但仍然存在以帮助脚本进行解析，发生错误时，该字段包含错误代码。

　　设置数据包由5个字组成：bmRequestType，bRequest，wValue，wIndex，wLength中的每个字由USB规范2.0指定。

　　如果设置标签为s，则可以安全地解码这些字。否则，安装包存在但未被捕获，并且字段包含填充符。

　　数据长度：对于提交，这是要求的长度。对于回调，这是实际长度。

　　数据标签：即使长度不为零，usbmon也不总是可以捕获数据，仅当此标记为=时，才出现数据字。

使用教程

　　如何使用usbmon收集原始文本跟踪与数据包套接字不同，usbmon具有以文本格式提供跟踪的接口。这用于两个目的。首先，它是工具的通用跟踪交换格式，同时最终确定了更复杂的格式。其次，如果工具不可用，人们可以阅读它。

　　要收集原始文本跟踪，请执行以下步骤。

　　1.准备挂载debugfs（必须在内核配置中启用），然后加载usbmon模块（如果作为模块构建）。如果usbmon内置在内核中，则跳过第二步：

　　现在，您可以选择使用套接字“ 0u”（捕获所有总线上的数据包），然后跳到步骤3，或者在步骤2中查找设备使用的总线。这样可以过滤掉连续通话的烦人设备。

　　2.查找连接到所需设备的总线运行“ cat / sys / kernel / debug / usb / devices”，找到与该设备相对应的T线。通常，您通过查找供应商字符串来完成此操作。如果您有许多类似的设备，请拔出其中一个，然后比较两个/ sys / kernel / debug / usb / devices输出。T线将有一个公交车号。

　　3.启动“猫”

　　4.在USB总线上执行所需的操作在这里，您可以进行一些操作来创建流量：插入闪存，复制文件，控制摄像头等。

　　5.杀死猫通常，这是通过键盘中断（Control-C）完成的。

　　此时，可以保存输出文件（在本示例中为/tmp/1.mon.out），通过电子邮件发送或使用文本编辑器进行检查。在最后一种情况下，请确保您喜欢的编辑器的文件大小不要过大。

　　原始文本数据格式当前支持两种格式：原始格式或“ 1t”格式和“ 1u”格式。内核2.6.21中不赞成使用“ 1t”格式。“ 1u”格式添加了一些字段，例如ISO帧描述符，间隔等。它会产生稍长的行，但否则是“ 1t”格式的完美超集。

　　如果希望在程序中识别彼此，请查看“地址”字（见下文），其中“ 1u”格式添加了总线号。如果存在2个冒号，则为'1t'格式，否则为'1u'。

　　任何文本格式的数据都包含事件流，例如URB提交，URB回调，提交错误。每个事件都是一个文本行，由空格分隔的单词组成。单词的数量或位置可能取决于事件类型，但是有一组单词，对于所有类型都是通用的。

　　这是单词列表，从左到右：

　　URB标签。这用于标识URB，通常是十六进制的URB结构的内核地址，但在合理范围内可以是序列号或任何其他唯一字符串。

　　时间戳（以微秒为单位），十进制数字。时间戳的分辨率取决于可用的时钟，因此它可能比一微秒差得多（例如，如果实现中使用了抖动，则该分辨率）。

　　事件类型。此类型是指事件的格式，而不是URB类型。可用的类型为：S-提交，C-回调，E-提交错误。

　　“地址”一词（以前是“管道”）。它由四个字段组成，以冒号分隔：URB类型和方向，总线号，设备地址，端点号。类型和方向以以下两种方式用两个字节编码：

　　当前状态:未开启

　　应用写保护

　　移除写保护

　　文件目录强制刪除

　　一些通过程序生成的歧义文件夹例如C:1.,普通方法是无法删除的,本功能

　　可以帮助你安全清除它们!(直接将文件夹拖拽到文本框中)

　　如果提交了控制数据包，则此字段包含一个设置标签，而不是一组数字。因为它不是数字，所以很容易分辨是否存在设置标签。因此，如果脚本在该单词中找到一组数字，则它们将继续读取“数据长度”（同步URB除外）。如果他们发现其他内容（例如字母），则会在读取数据长度或同步描述符之前先读取设置数据包。

　　同步帧描述符和描述符本身的数量。如果等时传输事件具有一组描述符，则首先打印它们在URB中的总数，然后每个描述符显示一个字，最多打印5个字。该字由3个冒号分隔的十进制数字组成，表示状态，偏移量，和长度。对于提交，将报告初始长度。对于回调，将报告实际长度。

　　数据字采用大尾数十六进制格式。请注意，它们不是机器字，而是实际上只是将字节流拆分成多个字以使其更易于阅读。因此，最后一个字可以包含一个到四个字节。收集的数据的长度是有限的，并且可以小于“数据长度”字中报告的数据长度。在同步输入（Zi）完成的情况下，接收到的数据在缓冲区中稀疏，所收集数据的长度可以大于数据长度值（因为数据长度仅对接收到的字节进行计数，而数据字包含整个传输缓冲区）。