Usbrip: inneal airson sùil a chumail air innealan USB

usbrip

Nuair a bhios e rianadair siostaman mar as trice taobh a-staigh lna gnìomhan as làitheil a bhios iad a ’dèanamh mar as trice (a bharrachd air faclan-faire puist-d a chruthachadh agus fhaighinn air ais), tha cumail suas agus stiùireadh an uidheamachd ann.

Far am bu chòir na h-uimhir de dhuilgheadasan a sheachnadh, tha comasan an uidheamachd a thaobh stàladh aplacaid mar as trice cuibhrichte agus a bharrachd air cuid de chuingealachaidhean a dhèanamh taobh a-staigh an lìonra gnìomhachais. Anns na gnìomhan cumanta sin, tha mòran buailteach a bhith a ’dèanamh dì-meas air an luchd-obrach a bhios a ’cleachdadh an uidheamachd, le bhith a’ coileanadh dìreach crìochan sìmplidh.

Glè bheag de luchd-rianachd de shiostaman a tha os cionn coimpiutairean Linux gus an Kernel a chuir ri chèile leotha fhèin a bhith comasach air na cuingeadan a choileanadh, far a bheil puirt USB mar as trice air an seachnadh.

Seo far a bheil inneal mòr a ’tighinn a-steach. a lorg mi air an lìon surf. Is e an t-ainm a th ’air usbrip, a tha ann am faclan a chruthaiche

"Is e inneal forensic stòr fosgailte a th’ ann le eadar-aghaidh CLI a leigeas leat sùil a chumail air artifacts inneal USB (ie eachdraidh tachartas USB) air innealan Linux "

Leigidh USBRip leat coimhead nas soilleire gu sgiobalta le bhith a ’dèanamh anailis air na logaichean Linux. Am bathar-bog beag seo sgrìobhte ann am Python 3 fìor-ghlan (a ’cleachdadh cuid de mhodalan taobh a-muigh) a bhios a’ parsadh faidhlichean log Linux ( / var / log / syslog * agus / var / log / messages * a rèir an cuairteachaidh) gus clàran eachdraidh tachartas USB a thogail.

Taobh a-staigh an fhiosrachaidh a bheir thu seachad, tha na leanas air a thaisbeanadh: Ceann-latha agus àm logadh a-steach, neach-cleachdaidh, ID solaraiche, ID toraidh, neach-dèanamh, àireamh sreathach, port agus ceann-latha agus àm logadh a-mach.

A bharrachd air an sin, faodaidh tu cuideachd:

  • Chruinnich às-mhalairt fiosrachadh mar dump JSON (agus fosgail cnapan mar sin, gu dearbh);
  • cruthaich liosta de dh ’innealan USB ùghdarraichte (earbsach) mar JSON (canar auth.json ris).
  • Lorg tachartasan "brisidh" stèidhichte air auth.json: seall (no gineadh fear eile le JSON) innealan USB a tha a ’nochdadh ann an eachdraidh agus nach eil a’ nochdadh ann an auth.json.
  • Nuair a thèid a chuir a-steach le -s * bidh e a ’cruthachadh storages crioptichte (tasglann 7zip) gus taic a thoirt do thachartasan USB agus an cruinneachadh gu fèin-ghluasadach le cuideachadh bho crontab. A bharrachd air a bhith comasach air mion-fhiosrachadh a bharrachd a lorg mu inneal USB sònraichte stèidhichte air a VID agus / no PID.

usbrip 1

Mar a stàlaicheas tu Usbrip air Linux?

Dhaibhsan aig a bheil ùidh ann a bhith comasach air an inneal seo a stàladh, feumaidh Python 3 a bhith air a chuir a-steach air an t-siostam agad a bharrachd air pip (siostam riaghlaidh pacaid Python)

Gus Usbrip a stàladh dìreach fosgail ceann-uidhe agus sgrìobh an àithne a leanas ann:

pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm

A-nis san aon dòigh faodaidh iad còd a ’phròiseict a luchdachadh sìos agus an inneal a chleachdadh às an sin. Gus seo a dhèanamh chan fheum iad ach a bhith a ’taipeadh bho thogalach:

git clone https://github.com/snovvcrash/usbrip.git usbrip

Agus an uairsin bidh iad a ’dol a-steach don chlàr le:

cd usbrip

Agus bidh sinn a ’fuasgladh nan eisimeileachd le:

python3 -m venv venv && source venv/bin/activate

Cleachdadh Usbrip

Tha cleachdadh an inneil seo gu math sìmplidh. Gus am bi gus eachdraidh thachartasan fhaicinn tha sinn dìreach a ’cur an gnìomh an àithne a leanas:

usbrip events history

O

python3 usbrip.py events history

Far an tèid na tachartasan a shealltainn. San aon dòigh, faodaidh iad a bhith air an sìoladh le làithean no raon sònraichte.

Mar eisimpleir

usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

O

python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

Leis an gnìomh seo, thèid fiosrachadh mu na h-innealan USB taobh a-muigh uile a tha ceangailte ris an uidheamachd rè na h-ùine bho Dàmhair 10 gu 15 a thaisbeanadh.

Gus obrachadh le sìoltachain. Tha 4 sheòrsa de shìoladh ri fhaighinn: dìreach tachartasan USB taobh a-muigh (innealan a tha furasta an toirt air falbh -e); a rèir ceann-latha (-d); a rèir raointean (–user, –vid, –pid, –product, –manufact, –serial, –port) agus a rèir an àireamh de chuir-a-steach a chaidh fhaighinn mar an toradh (-n).

Gus faidhle JSON a ghineadh leis na tachartasan:

usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

O

python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

Anns am bi fiosrachadh mu na ciad innealan 10 ceangailte air 30 Dàmhair 2019.

Ma tha thu airson tuilleadh fhaighinn a-mach mu chleachdadh an inneil seo faodaidh tu thoir sùil air a ’cheangal a leanas.


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh.

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.