• USB取证工具-Usbrip


    简介

    Usbrip(源自“USB Ripper”,而不是“USB RIP”惊人)是一个开源取证工具,带有CLI界面,可让您跟踪USB设备工件(即USB事件历史记录,“已连接”和“已断开连接”事件)
    usbrip是用Python 3编写的软件,它解析Linux日志文件(/var/log/syslog或/var/log/messages)以构建USB事件历史表。此类表格可能包含以下列:“已连接”(日期和时间),“用户”,“VID”(供应商ID),“PID”(产品ID),“产品”,“制造商”,“序列号”, “端口”和“断开连接”(日期和时间)。

    此外,它还可以:

    导出收集的信息作为JSON转储;
    生成一个授权(可信)USB设备列表作为JSON(称之为auth.json);
    根据以下内容搜索“违规事件” auth.json:show(或生成另一个JSON)USB设备出现在历史记录中并且不会出现在auth.json;
    *使用-sflag * 安装时,创建加密存储(7zip存档),以便在crontab调度程序的帮助下自动备份和累积USB事件;
    根据其VID和/或PID搜索有关特定USB设备的其他详细信息。

    安装:

    方法一 pip安装

    pip install usbrip
    

    方法二 git安装

    git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
    cd usbrip
    apt install python3-venv p7zip-full -y
    python3 -m venv venv && source venv/bin/activate
    python setup.py install
    

    在这里插入图片描述

    取证:
    windows:
    for /f  %i in ('reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR') do @for /f %x in ('reg query "%i"') do @reg query "%x" /v FriendlyName | findstr FriendlyName
    

    在这里插入图片描述

    linux:
    usbrip events history -ql -n 100n
    

    在这里插入图片描述

  • 相关阅读:
    ActiveMQ简单介绍+简单实例
    分布式开放消息系统(RocketMQ)的原理与实践
    RocketMQ实战(一)
    十分钟入门RocketMQ
    android Lib
    JDK1.8 Lambda
    JDK1.8聚合操作
    JNI
    Gradle插件
    Weex命令
  • 原文地址:https://www.cnblogs.com/cqnswp/p/12782349.html
Copyright © 2020-2023  润新知