介紹一款GNU/Linux上跟蹤USB設備的取證工具
usbrip取證工具
usbrip(源自"USB Ripper",而不是"USB RIP")是一個帶有CLI界面的開源取證工具,可以讓您在Linux機器上跟蹤USB設備(即USB事件歷史記錄,"已連接"和"已斷開連接"事件)。
usbrip是用Python3編寫的軟件,它解析Linux日志文件
/var/log/syslog* 或 /var/log/messages*
以構建USB事件歷史表。
此類表格可能包含以下列:
"已連接"(日期和時間),
"用戶",
"VID"(供應商ID),
"產品",
"制造商",
"序列號",
"端口"和
"斷開連接"(日期和時間)。
此外,它還可以:
(1).導出收集的信息作為JSON轉儲;
(2).生成一個授權(可信)USB設備列表作為JSON(稱之為auth.json);
(3).根據以下內容搜索(違規事件)auth.json:show(或生成另一個JSON)USB設備出現在歷史記錄中并且不會出現在auth.json;
(4).*使用-sflag * 安裝時,創建加密存儲(7zip存檔),以便在crontab調度程序的幫.助下自動備份和累積USB事件;
(5).根據其VID和/或PID搜索有關特定USB設備的其他詳細信息。
usbrip安裝
快速安裝
usbrip可在PyPI下載和安裝:
$ pip3 install usbrip
git安裝
# 下載 ~$ git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip ~/usbrip$ # 安裝依賴 ~$ sudo apt install python3-venv p7zip-full -y
有兩種方法,可以將usbrip安裝到系統中:
pip或setup.py。
pip要么setup.py
首先,usbrip是通過pip安裝的。這意味著在git克隆了repo之后可以簡單地啟動pip安裝過程,然后在終端的任何地方運行usbrip,如下所示:
~/usbrip$ python3 -m venv venv && source venv/bin/activate (venv) ~/usbrip$ pip install . (venv)~/usbrip$usbrip-h
或者,如果要在本地解析Python依賴關系(不打擾PyPI),請使用setup.py
~/usbrip$ python3 -m venv venv && source venv/bin/activate (venv) ~/usbrip$ python setup.py install (venv)~/usbrip$usbrip-h
注意:
您可能希望在Python虛擬環境處于活動狀態時運行安裝過程(如上所示)
usbrip使用
# ---------- BANNER ---------- $ usbrip banner Get usbrip banner. # ---------- EVENTS ---------- $ usbrip events history [-t | -l] [-e] [-n] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug] Get USB event history. $ usbrip events open [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug] Open USB event dump. $ usbrip events gen_auth [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-f [ ...]] [-q] [--debug] Generate a list of trusted (authorized) USB devices. $ usbrip events violations [-a [ ...]] [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-f [ ...]] [-q] [--debug] Get USB violation events based on the list of trusted devices. # ---------- STORAGE ---------- $ usbrip storage list [-q] [--debug] List contents of the selected storage (7zip archive). STORAGE_TYPE is "history" or "violations". $ usbrip storage open [-t | -l] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [-c [ ...]] [-q] [--debug] Open selected storage (7zip archive). Behaves similary to the EVENTS OPEN submodule. $ usbrip storage update [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [--lvl ] [-q] [--debug] Update storage — add USB events to the existing storage (7zip archive). COMPRESSION_LEVEL is a number in [0..9]. $ usbrip storage create [-a [ ...]] [-e] [-n ] [-d [ ...]] [--user [ ...]] [--vid [ ...]] [--pid [ ...]] [--prod [ ...]] [--manufact [ ...]] [--serial [ ...]] [--port [ ...]] [--lvl ] [-q] [--debug] Create storage — create 7zip archive and add USB events to it according to the selected options. $ usbrip storage passwd [--lvl ] [-q] [--debug] Change password of the existing storage. # ---------- IDs ---------- $ usbrip ids search [--vid ] [--pid ] [--offline] [-q] [--debug] Get extra details about a specific USB device by its and/or from the USB ID database. $ usbrip ids download [-q] [--debug] Update (download) the USB ID database.
usbrip的使用示例
顯示所有USB設備的事件歷史
$ usbrip events history -ql -n 100
顯示外部USB設備的事件歷史
$ usbrip events history -et -c conn vid pid disconn serial -d "Dec 9" "Dec 10" -f /var/log/syslog.1 /var/log/syslog.2.gz
審核編輯:劉清
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
USB設備
+關注
關注
0文章
57瀏覽量
16321 -
LINUX內核
+關注
關注
1文章
316瀏覽量
21618 -
GNU
+關注
關注
0文章
143瀏覽量
17479 -
CLI
+關注
關注
1文章
79瀏覽量
8530
原文標題:GNU/Linux上跟蹤USB設備的取證工具
文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
Linux內核開發工具介紹
接觸到Linux內核代碼的開發人員,都有無從下手的感覺。下面推薦幾個源碼閱讀和索引工具,能為后續內核開發提供一些便利。1、Source InsightSource Insight是Windows平臺下
發表于 01-06 17:20
Linux系統爭議——是Linux還是GNU/Linux?
這樣的程序不是自由軟件。GNU是什么?“GNU”這個名字是“GNU's Not Unix”的遞歸首字母縮寫詞,它是一個類Unix操作系統,由多個應用程序、系統庫、開發
發表于 06-12 17:17
介紹一款蘋果操作系統的電源管理工具
Power Manager for Mac是蘋果操作系統上的一款筆記本電源管理工具,該工具支持蘋果系列的筆記本,可以有效地優化蘋果系統,結束不必要的系統任務,同時還可以提高筆記本電池的
發表于 01-03 07:42
一款VScode的插件介紹
前文寫到使用minGW、GNU for ARM和VScode組成編譯調試鏈,今天又發現了一款VScode的插件,Cortex-Debug(marus25),可以用來debug ARM cortex-M系列單片機。這款插件目前功能不多,但好在配置簡單,讀
發表于 01-25 08:16
一款國產USB3.0HUB集線器芯片
*附件:和芯潤德 USB3.0HUB 設計資料.rar
推薦一款國產 USB3.0 HUB芯片,型號SL6340
推薦一款國產3.0HUB,型號SL6340,是
發表于 10-20 18:20
Linux下GNU Radio平臺的搭建以及該如何使用NI USRP設備
GNU Radio是一個開源的軟件無線電開發平臺,可以通過圖形化界面或C++、Python等文本語言快速開發軟件無線電應用,本文介紹了Linux下G
發表于 11-15 19:29
?9822次閱讀
Linux下的硬件驅動—USB設備(上)
趙明(carl__zhao@163.com) 聯想軟件設計中心嵌入式研發處系統設計工程師USB設備越來越多,而Linux在硬件配置上仍然沒有做到完全即插即用,對于
發表于 04-02 14:35
?470次閱讀
AutoGadgetFS:一款針對USB設備的安全測試工具
AutoGadgetFS是一款開源框架,它可以幫助廣大研究人員在無需深入了解USB協議的情況下對USB設備以及相關的主機/驅動器/軟件進行評估。
介紹一款基于go的windows信息收集工具
一款基于go的windows信息收集工具,主要收集目標設備rdp端口登錄、mstsc遠程連接記錄、mstsc密碼和安全事件中。
介紹一款有源濾波器的設計工具
濾波器分為有源濾波器和無源濾波。有源濾波器主要有,Sallen-Key和Multiple Feedback濾波器。 現在介紹一款有源濾波器的設計工具,這是一款ADI自帶的設計
GNU/Linux和Linux的區別在哪?
GNU、GNU/Linux、Linux 之間到底是什么關系?什么是自由軟件?什么是GPL協議?什么是自由軟件基金會?什么是GNU恥辱榜?有多
初識內存取證-volatility與Easy_dump
Volatility是一款非常強大的內存取證工具,它是由來自全世界的數百位知名安全專家合作開發的一套工具, 可以用于windows,
一款運行于windows上的linux命令神器-Cmder
Cmder是一款Windows的命令行工具,用起來和Linux的命令一樣順暢。可以使用大量的Linux 命令,比如 grep, curl,v
工商網監
評論