Usbrip:用于跟踪USB设备固件的简单CLI取证工具

文章目录

  • 开始
    • Git Clone
    • DEB包
    • PIP包
    • 手动解决依赖关系
  • 安装
    • CronCron作业可以设置如下:
    • 截图

Usbrip(源自“USB Ripper”,而不是“USB RIP”惊人)是一个开源取证工具,带有CLI界面,可让您跟踪USB设备工件(即USB事件历史记录,“已连接”和“已断开连接”事件) Linux机器。

Usbrip:用于跟踪USB设备固件的简单CLI取证工具插图

它是用纯Python 3编写的一小块软件(使用一些外部模块,参见Dependencies / PIP),它解析Linux日志文件(/var/log/syslog/var/log/messages 取决于发行版)以构建USB事件历史表。此类表格可能包含以下列:“ 已连接”(日期和时间),“用户”,“VID”(供应商ID),“PID”(产品ID),“产品”,“制造商”,“序列号”, “端口”和“断开连接”(日期和时间)。此外,它还可以:

导出收集的信息作为JSON转储(当然,打开这样的转储);

生成一个授权(可信)USB设备列表作为JSON(称之为auth.json);

根据以下内容搜索“违规事件” auth.json:show(或生成另一个JSON)USB设备出现在历史记录中并且不会出现在auth.json;

使用-sflag 安装时,创建加密存储(7zip存档),以便在crontab调度程序的帮助下自动备份和累积USB事件;

根据其VID和/或PID搜索有关特定USB设备的其他详细信息。

开始

usbrip可在PyPI下载和安装: $ pip3 install usbrip

Git Clone

为简单起见,让我们同意所有~/usbrip$出现前缀的命令都在~/usbrip由git clone创建的目录中执行:

~ $ git clone [https://github.com/snovvcrash/usbrip.git](https://github.com/snovvcrash/usbrip.git) usbrip&& cd usbrip~/usbrip$

由于usbrip仅适用于系统日志文件的非修改结构,因此,如果更改syslogs的格式(例如,syslog-ng或者)rsyslog,它将无法解析USB历史记录,这就是为什么“Connected”和“Disconnected”字段的时间戳没有年份,这个得记在脑子里。

DEB包

python3.6(或更新)解释器

python3-VENV

p7zip-full(由storages模块使用)`~$ sudo apt install python3-venv p7zip-full -y`

PIP包

usbrip使用以下外部模块:

terminaltables

termcolor

手动解决依赖关系

要手动解决Python依赖关系(实际上不必因为pip或者setup.py可以自动化该过程,请参阅安装)

创建一个虚拟环境(可选)并pip从内部运行:

~/usbrip$ python3 -m venv venv && source venv/bin/activate (venv)

~/usbrip$ pip install -r requirements.txt

或者让pipenvone-liner做所有不太干净的事:

~/usbrip$ pipenv install && pipenv shell

之后你可以便携式运行usbrip:

~/usbrip$ python -m usbrip -h Or (venv) ~/usbrip$ python **main**.py -h

安装

有两种方法可以将usbrip安装到系统中:pip或setup.py。

‘pip or setup.py’

首先,usbrip是pip可安装的。这意味着在git克隆了repo之后你可以简单地启动pip安装过程,然后在终端的任何地方运行usbrip,如下所示:

~/usbrip$ pip install . (venv) ~/usbrip$ usbrip -h

或者,如果要在本地解析Python依赖关系(不打扰PyPI),请使用setup.py:

~/usbrip$ python3 -m venv venv && source venv/bin/activate (venv)

~/usbrip$ python setup.py install (venv)

~/usbrip$ usbrip -h

注意:您可能希望在Python虚拟环境处于活动状态时运行安装过程(如上所示)。

##路径安装后,usbrip使用以下路径:

/opt/usbrip/ – 项目的主目录;

/var/opt/usbrip/usbrip.ini – usbrip配置文件:保留7zip存储的密码;

/var/opt/usbrip/storage/- USB事件存储:history.7z和violations.7z(在安装过程中创建);

/var/opt/usbrip/log/- usbrip日志(建议在使用crontab时记录usbrip活动,参见参考资料+usbrip/cron/usbrip.cron);

/var/opt/usbrip/trusted/ – 可信USB设备列表(在安装过程中创建);

/usr/local/bin/usbrip- /opt/usbrip/venv/bin/usbrip脚本的符号链接。

CronCron作业可以设置如下:

~/usbrip$ sudo crontab -l > tmpcron && echo “” >> tmpcron

~/usbrip$ cat usbrip/cron/usbrip.cron | tee -a tmpcron

~/usbrip$ sudo crontab tmpcron

~/usbrip$ rm tmpcron

截图Usbrip:用于跟踪USB设备固件的简单CLI取证工具插图(2)Usbrip:用于跟踪USB设备固件的简单CLI取证工具插图(3)

*本文作者:线性代数lzh,转载请注明来自一一网络博客

免责声明:务必仔细阅读

  • 本站为个人博客,博客所转载的一切破解、path、补丁、注册机和注册信息及软件等资源文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。

  • 本站为非盈利性站点,打赏作为用户喜欢本站捐赠打赏功能,本站不贩卖软件等资源,所有内容不作为商业行为。

  • 本博客的文章中涉及的任何解锁和解密分析脚本,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断.

  • 本博客的任何内容,未经许可禁止任何公众号、自媒体进行任何形式的转载、发布。

  • 博客对任何脚本资源教程问题概不负责,包括但不限于由任何脚本资源教程错误导致的任何损失或损害.

  • 间接使用相关资源或者参照文章的任何用户,包括但不限于建立VPS或在某些行为违反国家/地区法律或相关法规的情况下进行传播, 博客对于由此引起的任何隐私泄漏或其他后果概不负责.

  • 请勿将博客的任何内容用于商业或非法目的,否则后果自负.

  • 如果任何单位或个人认为该博客的任何内容可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明至admin@proyy.com.我们将在收到认证文件后删除相关内容.

  • 任何以任何方式查看此博客的任何内容的人或直接或间接使用该博客的任何内容的使用者都应仔细阅读此声明。博客保留随时更改或补充此免责声明的权利。一旦使用并复制了博客的任何内容,则视为您已接受此免责声明.

您必须在下载后的24小时内从计算机或手机中完全删除以上内容.

您使用或者复制了本博客的任何内容,则视为已接受此声明,请仔细阅读


更多福利请关注一一网络微信公众号或者小程序

一一网络微信公众号
打个小广告,宝塔服务器面板,我用的也是,很方便,重点是免费的也能用,没钱太难了,穷鬼一个,一键全能部署及管理,送你3188元礼包,点我领取https://www.bt.cn/?invite_code=MV9kY3ZwbXo=


一一网络 » Usbrip:用于跟踪USB设备固件的简单CLI取证工具

发表评论

发表评论

一一网络-提供最优质的文章集合

立即查看 了解详情