usbrip
usbrip — это инструмент для форензики с интерфейсом командной строки, позволяющий отслеживать артефакты, оставляемые USB-устройствами. Написан на Python3.
Анализирует логи для построения таблиц событий, которые могут содержать следующую информацию: дата и время подключения устройства, пользователь, идентификатор вендора, идентификатор продукта и др.
Кроме этого инструмент может следующее:
- экспортировать собранную информацию как дамп JSON;
- формировать список авторизованных (доверенных) USB-устройств в виде JSON-а;
- обнаруживать подозрительные события, связанные с устройствами, которых нет в списке авторизованных устройств;
- создавать зашифрованные хранилища (7zip-архивы) для автоматического резервного копирования (это возможно при установке с флагом -s);
- поиск дополнительных сведений о конкретном USB-устройстве по его VID и/или PID.
>>> Подробности