介绍一款GNU/Linux上跟踪USB设备的取证工具
usbrip取证工具
usbrip(源自usb ripper,而不是usb rip)是一个带有cli界面的开源取证工具,可以让您在linux机器上跟踪usb设备(即usb事件历史记录,已连接和已断开连接事件)。
usbrip是用python3编写的软件,它解析linux日志文件
/var/log/syslog*或/var/log/messages*
以构建usb事件历史表。
此类表格可能包含以下列:
已连接(日期和时间),
用户,
vid(供应商id),
pid(产品id),
产品,
制造商,
序列号,
端口和
断开连接(日期和时间)。
此外,它还可以:
(1).导出收集的信息作为json转储;
(2).生成一个授权(可信)usb设备列表作为json(称之为auth.json);
(3).根据以下内容搜索(违规事件)auth.json:show(或生成另一个json)usb设备出现在历史记录中并且不会出现在auth.json;
(4).*使用-sflag * 安装时,创建加密存储(7zip存档),以便在crontab调度程序的帮.助下自动备份和累积usb事件;
(5).根据其vid和/或pid搜索有关特定usb设备的其他详细信息。
usbrip安装
快速安装
usbrip可在pypi下载和安装:
$ pip3 install usbrip
git安装
# 下载~$ git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip~/usbrip$# 安装依赖~$ sudo apt install python3-venv p7zip-full -y
有两种方法,可以将usbrip安装到系统中:
pip或setup.py。
pip要么setup.py
首先,usbrip是通过pip安装的。这意味着在git克隆了repo之后可以简单地启动pip安装过程,然后在终端的任何地方运行usbrip,如下所示:
~/usbrip$ python3 -m venv venv && source venv/bin/activate(venv) ~/usbrip$ pip install .(venv) ~/usbrip$ usbrip -h
或者,如果要在本地解析python依赖关系(不打扰pypi),请使用setup.py
~/usbrip$ python3 -m venv venv && source venv/bin/activate(venv) ~/usbrip$ python setup.py install(venv) ~/usbrip$ usbrip -h
注意:
您可能希望在python虚拟环境处于活动状态时运行安装过程(如上所示)
usbrip使用
# ---------- banner ----------$ usbrip bannerget usbrip banner.# ---------- events ----------$ usbrip events history [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug]get usb event history.$ usbrip events open [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug]open usb event dump.$ usbrip events gen_auth [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-f [ ...]] [-q] [--debug]generate a list of trusted (authorized) usb devices.$ usbrip events violations [-a [ ...]] [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug]get usb violation events based on the list of trusted devices.# ---------- storage ----------$ usbrip storage list [-q] [--debug]list contents of the selected storage (7zip archive). storage_type is history or violations.$ usbrip storage open [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-q] [--debug]open selected storage (7zip archive). behaves similary to the events open submodule.$ usbrip storage update [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [--lvl ] [-q] [--debug]update storage — add usb events to the existing storage (7zip archive). compression_level is a number in [0..9].$ usbrip storage create [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [--lvl ] [-q] [--debug]create storage — create 7zip archive and add usb events to it according to the selected options.$ usbrip storage passwd [--lvl ] [-q] [--debug]change password of the existing storage.# ---------- ids ----------$ usbrip ids search [--vid ] [--pid ] [--offline] [-q] [--debug]get extra details about a specific usb device by its and/or from the usb id database.$ usbrip ids download [-q] [--debug]update (download) the usb id database.
usbrip的使用示例
显示所有usb设备的事件历史
$ usbrip events history -ql -n 100
显示外部usb设备的事件历史
$ usbrip events history -et -c conn vid pid disconn serial -d dec 9 dec 10 -f /var/log/syslog.1 /var/log/syslog.2.gz
黄石沪士电子先后投资1.5亿元,对整个生产工艺进行技术改造
全面了解电路分析:支路电流法
摩托罗拉 g7 plus正式发布采用了中国红配色和logo指纹二合一设计
碱性锌锰电池的组成_碱性锌锰电池参数表
传感器未来发展趋势分析
介绍一款GNU/Linux上跟踪USB设备的取证工具
真正意义上的无人驾驶巴士车来袭 能准确绕过障碍物自动调整前进速度
智能手机Q1销量惨淡 争抢优质客户“剩”者为王
新一代高性能集成功放LM3886
杰理下载器强制工具远程升级的方法说明,需要工具
三星崛起:推动全球芯片代工产业变革
黑客使用NSA黑客工具攻击美国政府网络
当魅蓝note5遇上魅族Flyme6,不得不说的功能和体验
三星Galaxy S20+真机上手曝光采用了挖孔屏设计与三星Note10基本一致
自动驾驶模拟仿真系统中的传感器模型
铁水运输动态监测系统无线通讯网设计
自动重合闸的作用及基本要求
UTMI接口规范介绍
电路板重新返工的六种方法盘点
台北电脑展亮点汇总:未来机箱亮相 VR淡出电脑展
usbrip(源自usb ripper,而不是usb rip)是一个带有cli界面的开源取证工具,可以让您在linux机器上跟踪usb设备(即usb事件历史记录,已连接和已断开连接事件)。
usbrip是用python3编写的软件,它解析linux日志文件
/var/log/syslog*或/var/log/messages*
以构建usb事件历史表。
此类表格可能包含以下列:
已连接(日期和时间),
用户,
vid(供应商id),
pid(产品id),
产品,
制造商,
序列号,
端口和
断开连接(日期和时间)。
此外,它还可以:
(1).导出收集的信息作为json转储;
(2).生成一个授权(可信)usb设备列表作为json(称之为auth.json);
(3).根据以下内容搜索(违规事件)auth.json:show(或生成另一个json)usb设备出现在历史记录中并且不会出现在auth.json;
(4).*使用-sflag * 安装时,创建加密存储(7zip存档),以便在crontab调度程序的帮.助下自动备份和累积usb事件;
(5).根据其vid和/或pid搜索有关特定usb设备的其他详细信息。
usbrip安装
快速安装
usbrip可在pypi下载和安装:
$ pip3 install usbrip
git安装
# 下载~$ git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip~/usbrip$# 安装依赖~$ sudo apt install python3-venv p7zip-full -y
有两种方法,可以将usbrip安装到系统中:
pip或setup.py。
pip要么setup.py
首先,usbrip是通过pip安装的。这意味着在git克隆了repo之后可以简单地启动pip安装过程,然后在终端的任何地方运行usbrip,如下所示:
~/usbrip$ python3 -m venv venv && source venv/bin/activate(venv) ~/usbrip$ pip install .(venv) ~/usbrip$ usbrip -h
或者,如果要在本地解析python依赖关系(不打扰pypi),请使用setup.py
~/usbrip$ python3 -m venv venv && source venv/bin/activate(venv) ~/usbrip$ python setup.py install(venv) ~/usbrip$ usbrip -h
注意:
您可能希望在python虚拟环境处于活动状态时运行安装过程(如上所示)
usbrip使用
# ---------- banner ----------$ usbrip bannerget usbrip banner.# ---------- events ----------$ usbrip events history [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug]get usb event history.$ usbrip events open [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug]open usb event dump.$ usbrip events gen_auth [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-f [ ...]] [-q] [--debug]generate a list of trusted (authorized) usb devices.$ usbrip events violations [-a [ ...]] [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug]get usb violation events based on the list of trusted devices.# ---------- storage ----------$ usbrip storage list [-q] [--debug]list contents of the selected storage (7zip archive). storage_type is history or violations.$ usbrip storage open [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-q] [--debug]open selected storage (7zip archive). behaves similary to the events open submodule.$ usbrip storage update [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [--lvl ] [-q] [--debug]update storage — add usb events to the existing storage (7zip archive). compression_level is a number in [0..9].$ usbrip storage create [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [--lvl ] [-q] [--debug]create storage — create 7zip archive and add usb events to it according to the selected options.$ usbrip storage passwd [--lvl ] [-q] [--debug]change password of the existing storage.# ---------- ids ----------$ usbrip ids search [--vid ] [--pid ] [--offline] [-q] [--debug]get extra details about a specific usb device by its and/or from the usb id database.$ usbrip ids download [-q] [--debug]update (download) the usb id database.
usbrip的使用示例
显示所有usb设备的事件历史
$ usbrip events history -ql -n 100
显示外部usb设备的事件历史
$ usbrip events history -et -c conn vid pid disconn serial -d dec 9 dec 10 -f /var/log/syslog.1 /var/log/syslog.2.gz
黄石沪士电子先后投资1.5亿元,对整个生产工艺进行技术改造
全面了解电路分析:支路电流法
摩托罗拉 g7 plus正式发布采用了中国红配色和logo指纹二合一设计
碱性锌锰电池的组成_碱性锌锰电池参数表
传感器未来发展趋势分析
介绍一款GNU/Linux上跟踪USB设备的取证工具
真正意义上的无人驾驶巴士车来袭 能准确绕过障碍物自动调整前进速度
智能手机Q1销量惨淡 争抢优质客户“剩”者为王
新一代高性能集成功放LM3886
杰理下载器强制工具远程升级的方法说明,需要工具
三星崛起:推动全球芯片代工产业变革
黑客使用NSA黑客工具攻击美国政府网络
当魅蓝note5遇上魅族Flyme6,不得不说的功能和体验
三星Galaxy S20+真机上手曝光采用了挖孔屏设计与三星Note10基本一致
自动驾驶模拟仿真系统中的传感器模型
铁水运输动态监测系统无线通讯网设计
自动重合闸的作用及基本要求
UTMI接口规范介绍
电路板重新返工的六种方法盘点
台北电脑展亮点汇总:未来机箱亮相 VR淡出电脑展