国产SUV精品一区二区,麻豆蜜桃国产精品无码视频

usbrip取證工具

usbrip(源自"USB Ripper"，而不是"USB RIP")是一個(gè)帶有CLI界面的開源取證工具，可以讓您在Linux機(jī)器上跟蹤USB設(shè)備(即USB事件歷史記錄，"已連接"和"已斷開連接"事件)。

usbrip是用Python3編寫的軟件，它解析Linux日志文件

/var/log/syslog*
或
/var/log/messages*

以構(gòu)建USB事件歷史表。

此類表格可能包含以下列:

"已連接"(日期和時(shí)間)，

"用戶"，

"VID"(供應(yīng)商ID)，

"PID"(產(chǎn)品ID)，

"產(chǎn)品"，

"制造商"，

"序列號(hào)"，

"端口"和

"斷開連接"(日期和時(shí)間)。

此外，它還可以：

(1).導(dǎo)出收集的信息作為JSON轉(zhuǎn)儲(chǔ);

(2).生成一個(gè)授權(quán)(可信)USB設(shè)備列表作為JSON(稱之為auth.json);

(3).根據(jù)以下內(nèi)容搜索(違規(guī)事件)auth.json:show(或生成另一個(gè)JSON)USB設(shè)備出現(xiàn)在歷史記錄中并且不會(huì)出現(xiàn)在auth.json;

(4).*使用-sflag * 安裝時(shí)，創(chuàng)建加密存儲(chǔ)（7zip存檔），以便在crontab調(diào)度程序的幫.助下自動(dòng)備份和累積USB事件;

(5).根據(jù)其VID和/或PID搜索有關(guān)特定USB設(shè)備的其他詳細(xì)信息。

usbrip安裝

快速安裝

usbrip可在PyPI下載和安裝：

$ pip3 install usbrip

git安裝

# 下載
~$ git clone https://github.com/snovvcrash/usbrip.git usbrip && cd usbrip
~/usbrip$


# 安裝依賴
~$ sudo apt install python3-venv p7zip-full -y

有兩種方法,可以將usbrip安裝到系統(tǒng)中：

pip或setup.py。

pip要么setup.py

首先，usbrip是通過pip安裝的。這意味著在git克隆了repo之后可以簡單地啟動(dòng)pip安裝過程，然后在終端的任何地方運(yùn)行usbrip，如下所示：

~/usbrip$ python3 -m venv venv && source venv/bin/activate
(venv) ~/usbrip$ pip install .


(venv)~/usbrip$usbrip-h

或者，如果要在本地解析Python依賴關(guān)系(不打擾PyPI)，請(qǐng)使用setup.py

~/usbrip$ python3 -m venv venv && source venv/bin/activate
(venv) ~/usbrip$ python setup.py install


(venv)~/usbrip$usbrip-h

注意：

您可能希望在Python虛擬環(huán)境處于活動(dòng)狀態(tài)時(shí)運(yùn)行安裝過程(如上所示)

usbrip使用

# ---------- BANNER ----------


$ usbrip banner
Get usbrip banner.


# ---------- EVENTS ----------


$ usbrip events history [-t | -l] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [-c  [ ...]] [-f  [ ...]] [-q] [--debug]
Get USB event history.


$ usbrip events open  [-t | -l] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [-c  [ ...]] [-f  [ ...]] [-q] [--debug]
Open USB event dump.


$ usbrip events gen_auth  [-a  [ ...]] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [-f  [ ...]] [-q] [--debug]
Generate a list of trusted (authorized) USB devices.


$ usbrip events violations  [-a  [ ...]] [-t | -l] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [-c  [ ...]] [-f  [ ...]] [-q] [--debug]
Get USB violation events based on the list of trusted devices.


# ---------- STORAGE ----------


$ usbrip storage list  [-q] [--debug]
List contents of the selected storage (7zip archive). STORAGE_TYPE is "history" or "violations".


$ usbrip storage open  [-t | -l] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [-c  [ ...]] [-q] [--debug]
Open selected storage (7zip archive). Behaves similary to the EVENTS OPEN submodule.


$ usbrip storage update  [-a  [ ...]] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [--lvl ] [-q] [--debug]
Update storage — add USB events to the existing storage (7zip archive). COMPRESSION_LEVEL is a number in [0..9].


$ usbrip storage create  [-a  [ ...]] [-e] [-n ] [-d  [ ...]] [--user  [ ...]] [--vid  [ ...]] [--pid  [ ...]] [--prod  [ ...]] [--manufact  [ ...]] [--serial  [ ...]] [--port  [ ...]] [--lvl ] [-q] [--debug]
Create storage — create 7zip archive and add USB events to it according to the selected options.


$ usbrip storage passwd  [--lvl ] [-q] [--debug]
Change password of the existing storage.


# ---------- IDs ----------


$ usbrip ids search [--vid ] [--pid ] [--offline] [-q] [--debug]
Get extra details about a specific USB device by its  and/or  from the USB ID database.


$ usbrip ids download [-q] [--debug]
Update (download) the USB ID database.

usbrip的使用示例

顯示所有USB設(shè)備的事件歷史

$ usbrip events history -ql -n 100

顯示外部USB設(shè)備的事件歷史

$ usbrip events history -et -c conn vid pid disconn serial -d "Dec  9" "Dec 10" -f /var/log/syslog.1 /var/log/syslog.2.gz

審核編輯：劉清

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴

USB設(shè)備

USB設(shè)備

+關(guān)注

關(guān)注
0

文章
56

瀏覽量
16315
LINUX內(nèi)核

LINUX內(nèi)核

+關(guān)注

關(guān)注
1

文章
316

瀏覽量
21608
GNU

GNU

+關(guān)注

關(guān)注
0

文章
143

瀏覽量
17445
CLI

CLI

+關(guān)注

關(guān)注
1

文章
79

瀏覽量
8521

原文標(biāo)題：GNU/Linux上跟蹤USB設(shè)備的取證工具

文章出處：【微信號(hào)：哆啦安全，微信公眾號(hào)：哆啦安全】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

評(píng)論

相關(guān)推薦

Linux內(nèi)核開發(fā)工具介紹

接觸到Linux內(nèi)核代碼的開發(fā)人員，都有無從下手的感覺。下面推薦幾個(gè)源碼閱讀和索引工具，能為后續(xù)內(nèi)核開發(fā)提供一些便利。1、Source InsightSource Insight是Windows平臺(tái)下

發(fā)表于 01-06 17:20

Linux系統(tǒng)爭議——是Linux還是GNU/Linux?

這樣的程序不是自由軟件。GNU是什么？“GNU”這個(gè)名字是“GNU's Not Unix”的遞歸首字母縮寫詞，它是一個(gè)類Unix操作系統(tǒng)，由多個(gè)應(yīng)用程序、系統(tǒng)庫、開發(fā)

發(fā)表于 06-12 17:17

介紹一款蘋果操作系統(tǒng)的電源管理工具

Power Manager for Mac是蘋果操作系統(tǒng)上的一款筆記本電源管理工具，該工具支持蘋果系列的筆記本，可以有效地優(yōu)化蘋果系統(tǒng)，結(jié)束不必要的系統(tǒng)任務(wù)，同時(shí)還可以提高筆記本電池的

發(fā)表于 01-03 07:42

一款VScode的插件介紹

前文寫到使用minGW、GNU for ARM和VScode組成編譯調(diào)試鏈，今天又發(fā)現(xiàn)了一款VScode的插件，Cortex-Debug（marus25），可以用來debug ARM cortex-M系列單片機(jī)。這款插件目前功能不多，但好在配置簡單，讀

發(fā)表于 01-25 08:16

介紹一款支持Vulkan的Arm平臺(tái)Linux操作系統(tǒng)

介紹一款支持Vulkan的Arm平臺(tái)Linux操作系統(tǒng)

發(fā)表于 03-03 06:41

一款國產(chǎn)USB3.0HUB集線器芯片

*附件：和芯潤德 USB3.0HUB 設(shè)計(jì)資料.rar 推薦一款國產(chǎn) USB3.0 HUB芯片，型號(hào)SL6340 推薦一款國產(chǎn)3.0HUB，型號(hào)SL6340，是

發(fā)表于 10-20 18:20

Linux下GNU Radio平臺(tái)的搭建以及該如何使用NI USRP設(shè)備

GNU Radio是一個(gè)開源的軟件無線電開發(fā)平臺(tái)，可以通過圖形化界面或C++、Python等文本語言快速開發(fā)軟件無線電應(yīng)用，本文介紹了Linux下G

發(fā)表于 11-15 19:29 ?9781次閱讀

AutoGadgetFS：一款針對(duì)USB設(shè)備的安全測(cè)試工具

AutoGadgetFS是一款開源框架，它可以幫助廣大研究人員在無需深入了解USB協(xié)議的情況下對(duì)USB設(shè)備以及相關(guān)的主機(jī)/驅(qū)動(dòng)器/軟件進(jìn)行評(píng)估。

發(fā)表于 09-05 15:49 ?890次閱讀

介紹一款基于go的windows信息收集工具

一款基于go的windows信息收集工具，主要收集目標(biāo)設(shè)備rdp端口登錄、mstsc遠(yuǎn)程連接記錄、mstsc密碼和安全事件中。

發(fā)表于 09-09 09:47 ?1120次閱讀

介紹一款有源濾波器的設(shè)計(jì)工具

　　濾波器分為有源濾波器和無源濾波。有源濾波器主要有，Sallen-Key和Multiple Feedback濾波器。現(xiàn)在介紹一款有源濾波器的設(shè)計(jì)工具，這是一款ADI自帶的設(shè)計(jì)

發(fā)表于 11-23 16:06 ?4412次閱讀

GNU/Linux和Linux的區(qū)別在哪？

GNU、GNU/Linux、Linux 之間到底是什么關(guān)系？什么是自由軟件？什么是GPL協(xié)議？什么是自由軟件基金會(huì)？什么是GNU恥辱榜？有多

發(fā)表于 02-17 09:36 ?1562次閱讀

初識(shí)內(nèi)存取證-volatility與Easy_dump

Volatility是一款非常強(qiáng)大的內(nèi)存取證工具,它是由來自全世界的數(shù)百位知名安全專家合作開發(fā)的一套工具, 可以用于windows,

發(fā)表于 03-01 13:39 ?3067次閱讀