特别声明:本教程仅用于技术分享,切勿用于其他用途,造成的一切后果与本人无关
usbrip(源自“USB Ripper”,而不是“USB RIP”)是一个带有CLI界面的开源取证工具,可以让您在Linux机器上跟踪USB设备(即USB事件历史记录,“已连接”和“已断开连接”事件)。
usbrip是用Python 3编写的软件,它解析Linux日志文件(/var/log/syslog或/var/log/messages)以构建USB事件历史表。此类表格可能包含以下列:“已连接”(日期和时间),“用户”,“VID”(供应商ID),“PID”(产品ID),“产品”,“制造商”,“序列号”, “端口”和“断开连接”(日期和时间)。
此外,它还可以:
- 导出收集的信息作为JSON转储;
- 生成一个授权(可信)USB设备列表作为JSON(称之为auth.json);
- 根据以下内容搜索“违规事件” auth.json:show(或生成另一个JSON)USB设备出现在历史记录中并且不会出现在auth.json;
- *使用-sflag * 安装时,创建加密存储(7zip存档),以便在crontab调度程序的帮助下自动备份和累积USB事件;
- 根据其VID和/或PID搜索有关特定USB设备的其他详细信息。
# 下载
~$ git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
~/usbrip$
# 安装依赖
~$ sudo apt install python3-venv p7zip-full -y
有两种方法可以将usbrip安装到系统中:pip或setup.py。
pip 要么 setup.py
首先,usbrip是pip可安装的。这意味着在git克隆了repo之后你可以简单地启动pip安装过程,然后在终端的任何地方运行usbrip,如下所示:
~/usbrip$ python3 -m venv venv && source venv/bin/activate
(venv) ~/usbrip$ pip install .
(venv) ~/usbrip$ usbrip -h
或者,如果要在本地解析Python依赖关系(不打扰PyPI),请使用setup.py:
~/usbrip$ python3 -m venv venv && source venv/bin/activate
(venv) ~/usbrip$ python setup.py install
(venv) ~/usbrip$ usbrip -h
示例
显示所有USB设备的事件历史
$ usbrip events history -ql -n 100
显示外部USB设备的事件历史
$ usbrip events history -et -c conn vid pid disconn serial -d "Dec 9" "Dec 10" -f /var/log/syslog.1 /var/log/syslog.2.gz