USB取證工具-Usbrip

簡介

Usbrip(源自“USB Ripper”,而不是“USB RIP”驚人)是一個開源取證工具,帶有CLI界面,可讓您跟蹤USB設備工件(即USB事件歷史記錄,“已連接”和“已斷開連接”事件)
usbrip是用Python 3編寫的軟件,它解析Linux日誌文件(/var/log/syslog或/var/log/messages)以構建USB事件歷史表。此類表格可能包含以下列:“已連接”(日期和時間),“用戶”,“VID”(供應商ID),“PID”(產品ID),“產品”,“製造商”,“序列號”, “端口”和“斷開連接”(日期和時間)。

此外,它還可以:

導出收集的信息作爲JSON轉儲;
生成一個授權(可信)USB設備列表作爲JSON(稱之爲auth.json);
根據以下內容搜索“違規事件” auth.json:show(或生成另一個JSON)USB設備出現在歷史記錄中並且不會出現在auth.json;
*使用-sflag * 安裝時,創建加密存儲(7zip存檔),以便在crontab調度程序的幫助下自動備份和累積USB事件;
根據其VID和/或PID搜索有關特定USB設備的其他詳細信息。

安裝:

方法一 pip安裝

pip install usbrip

方法二 git安裝

git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
cd usbrip
apt install python3-venv p7zip-full -y
python3 -m venv venv && source venv/bin/activate
python setup.py install

在這裏插入圖片描述

取證:
windows:
for /f  %i in ('reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR') do @for /f %x in ('reg query "%i"') do @reg query "%x" /v FriendlyName | findstr FriendlyName

在這裏插入圖片描述

linux:
usbrip events history -ql -n 100n

在這裏插入圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章