usbrip

特别声明：本教程仅用于技术分享，切勿用于其他用途，造成的一切后果与本人无关

usbrip（源自“USB Ripper”，而不是“USB RIP”）是一个带有CLI界面的开源取证工具，可以让您在Linux机器上跟踪USB设备（即USB事件历史记录，“已连接”和“已断开连接”事件）。
usbrip是用Python 3编写的软件，它解析Linux日志文件（/var/log/syslog或/var/log/messages）以构建USB事件历史表。此类表格可能包含以下列：“已连接”（日期和时间），“用户”，“VID”（供应商ID），“PID”（产品ID），“产品”，“制造商”，“序列号”， “端口”和“断开连接”（日期和时间）。

此外，它还可以：

• 导出收集的信息作为JSON转储;
• 生成一个授权（可信）USB设备列表作为JSON（称之为auth.json）;
• 根据以下内容搜索“违规事件” auth.json：show（或生成另一个JSON）USB设备出现在历史记录中并且不会出现在auth.json;
• *使用-sflag * 安装时，创建加密存储（7zip存档），以便在crontab调度程序的帮助下自动备份和累积USB事件;
• 根据其VID和/或PID搜索有关特定USB设备的其他详细信息。

# 下载
~$ git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
~/usbrip$
# 安装依赖
~$ sudo apt install python3-venv p7zip-full -y

有两种方法可以将usbrip安装到系统中：pip或setup.py。
pip 要么 setup.py
首先，usbrip是pip可安装的。这意味着在git克隆了repo之后你可以简单地启动pip安装过程，然后在终端的任何地方运行usbrip，如下所示：

~/usbrip$ python3 -m venv venv && source venv/bin/activate
(venv) ~/usbrip$ pip install .
(venv) ~/usbrip$ usbrip -h

或者，如果要在本地解析Python依赖关系（不打扰PyPI），请使用setup.py：

~/usbrip$ python3 -m venv venv && source venv/bin/activate
(venv) ~/usbrip$ python setup.py install
(venv) ~/usbrip$ usbrip -h

示例

显示所有USB设备的事件历史

$ usbrip events history -ql -n 100

显示外部USB设备的事件历史

$ usbrip events history -et -c conn vid pid disconn serial -d "Dec  9" "Dec 10" -f /var/log/syslog.1 /var/log/syslog.2.gz