簡介
Usbrip(源自“USB Ripper”,而不是“USB RIP”驚人)是一個開源取證工具,帶有CLI界面,可讓您跟蹤USB設備工件(即USB事件歷史記錄,“已連接”和“已斷開連接”事件)
usbrip是用Python 3編寫的軟件,它解析Linux日誌文件(/var/log/syslog或/var/log/messages)以構建USB事件歷史表。此類表格可能包含以下列:“已連接”(日期和時間),“用戶”,“VID”(供應商ID),“PID”(產品ID),“產品”,“製造商”,“序列號”, “端口”和“斷開連接”(日期和時間)。
此外,它還可以:
導出收集的信息作爲JSON轉儲;
生成一個授權(可信)USB設備列表作爲JSON(稱之爲auth.json);
根據以下內容搜索“違規事件” auth.json:show(或生成另一個JSON)USB設備出現在歷史記錄中並且不會出現在auth.json;
*使用-sflag * 安裝時,創建加密存儲(7zip存檔),以便在crontab調度程序的幫助下自動備份和累積USB事件;
根據其VID和/或PID搜索有關特定USB設備的其他詳細信息。
安裝:
方法一 pip安裝
pip install usbrip
方法二 git安裝
git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
cd usbrip
apt install python3-venv p7zip-full -y
python3 -m venv venv && source venv/bin/activate
python setup.py install
取證:
windows:
for /f %i in ('reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR') do @for /f %x in ('reg query "%i"') do @reg query "%x" /v FriendlyName | findstr FriendlyName
linux:
usbrip events history -ql -n 100n