简介
Usbrip(源自“USB Ripper”,而不是“USB RIP”惊人)是一个开源取证工具,带有CLI界面,可让您跟踪USB设备工件(即USB事件历史记录,“已连接”和“已断开连接”事件)
usbrip是用Python 3编写的软件,它解析Linux日志文件(/var/log/syslog或/var/log/messages)以构建USB事件历史表。此类表格可能包含以下列:“已连接”(日期和时间),“用户”,“VID”(供应商ID),“PID”(产品ID),“产品”,“制造商”,“序列号”, “端口”和“断开连接”(日期和时间)。
此外,它还可以:
导出收集的信息作为JSON转储;
生成一个授权(可信)USB设备列表作为JSON(称之为auth.json);
根据以下内容搜索“违规事件” auth.json:show(或生成另一个JSON)USB设备出现在历史记录中并且不会出现在auth.json;
*使用-sflag * 安装时,创建加密存储(7zip存档),以便在crontab调度程序的帮助下自动备份和累积USB事件;
根据其VID和/或PID搜索有关特定USB设备的其他详细信息。
安装:
方法一 pip安装
pip install usbrip
方法二 git安装
git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
cd usbrip
apt install python3-venv p7zip-full -y
python3 -m venv venv && source venv/bin/activate
python setup.py install
取证:
windows:
for /f %i in ('reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR') do @for /f %x in ('reg query "%i"') do @reg query "%x" /v FriendlyName | findstr FriendlyName
linux:
usbrip events history -ql -n 100n