usbrip – это инструмент для форензики с интерфейсом командной строки, позволяющий отслеживать артефакты, оставляемые USB-устройствами. Написан на Python3.

Анализирует логи для построения таблиц событий, которые могут содержать следующую информацию: дата и время подключения устройства, пользователь, идентификатор вендора, идентификатор продукта и др.

Кроме этого инструмент может следующее:

• экспортировать собранную информацию как дамп JSON;
• формировать список авторизованных (доверенных) USB-устройств в виде JSON-а;
• обнаруживать подозрительные события, связанные с устройствами, которых нет в списке авторизованных устройств;
• создавать зашифрованные хранилища (7zip-архивы) для автоматического резервного копирования (это возможно при установке с флагом -s);
• поиск дополнительных сведений о конкретном USB-устройстве по его VID и/или PID.

forensic, usbrip

http://feedproxy.google.com/~r/org/LOR/~3/51g8h9DPyOw/15133195