Usbrip: en Instrument fir USB Geräter ze verfollegen

usbrip

Wann et ass e Systemadministrator normalerweis bannent ldéi alldeegst Aufgaben déi se normalerweis maachen (zousätzlech zu der Erstellung an der Erhuelung vun E-Mail Passwierder), et ass den Ënnerhalt an d'Iwwerwaachung vun der Ausrüstung.

Wou allgemeng, fir sou vill Probleemer ze vermeiden, d'Funktionalitéiten vun der Ausrüstung wat d'Applikatiounsinstallatioun ugeet normalerweis limitéiert sinn an zousätzlech zu e puer Restriktiounen am Geschäftsnetz. An dësen gemeinsamen Aufgaben tendéiere vill d'Personal ze ënnerschätzen deen d'Ausrüstung benotzt, andeems se nëmmen einfach Aschränkungen ausféieren.

Puer Administrateuren vu Systemer déi verantwortlech si fir Linux Computeren fir de Kernel selwer ze kompiléieren fir d'Restriktiounen kënnen auszeféieren, wou USB Ports allgemeng ëmgaange ginn.

Dëst ass wou e super Tool kënnt eran. datt ech um Netz surfen fonnt hunn. Säin Numm ass Usbrip, wat an de Wierder vu sengem Schëpfer

"Et ass en Open Source Forensik-Tool mat CLI Interface dat Iech erlaabt Iech USB Gerät Artefakter (dh USB Event Geschicht) op Linux Maschinnen ze verfollegen"

USBRip erlaabt Iech ze gesinn méi kloer séier duerch Analyse vun de Linux Logbicher. Dës kleng Software geschriwwen a pure Python 3 (mat externen Moduler) déi Linux Log Dateien analyséiert ( / var / log / syslog * an / var / log / messages * ofhängeg vun der Verdeelung) fir USB Event Geschicht Dëscher ze bauen.

An der Informatioun déi Dir gitt, gëtt folgend ugewisen: Datum an Auerzäit vum Login, Benotzer, ID vum Ubidder, Produkt-ID, Fabrikant, Seriennummer, Hafen an Datum an Zäit vum Ofmelden.

Zousätzlech kënnt Dir och:

  • Export gesammelt Informatioun als JSON Dump (an natierlech sou Dumps opmaachen);
  • generéiert eng Lëscht mat autoriséierten (vertrauenswürdegen) USB Geräter als JSON (nennt et auth.json).
  • Sicht no "Verstouss" Eventer op Basis vun auth.json: weisen (oder generéiere weider mat JSON) USB Geräter déi an der Geschicht erschéngen an net an auth.json erschéngen.
  • Wann installéiert mat -s * erstellt verschlësselte Späicheren (7zip Dateien) fir ze backen an USB Eventer automatesch mat Hëllef vu crontab ze sammelen. Zousätzlech fir déi zousätzlech Detailer iwwer e spezifescht USB-Gerät ze sichen op Basis vu sengem VID an / oder PID.

usbrip1

Wéi installéiere mir Usbrip op Linux?

Fir déi, déi interesséiert sinn dëst Tool z'installéieren, muss Python 3 installéiert hunn op Ärem System wéi och Pip (Python säi Package Management System)

Fir Usbrip z'installéieren öffnen just en Terminal a gitt de folgenden Kommando dran:

pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm

Elo op déiselwecht Manéier si kënnen de Projetcode eroflueden an den Tool vun do aus benotzen. Fir dëst ze maachen, musse se nëmmen vun engem Terminal tippen:

git clone https://github.com/snovvcrash/usbrip.git usbrip

An da gi se an de Verzeechnes mat:

cd usbrip

A mir léisen d'Ofhängegkeete mat:

python3 -m venv venv && source venv/bin/activate

Usbrip Benotzung

Mat dësem Tool ass relativ einfach. Sou datt fir d'Geschicht vun Eventer ze gesinn, féiere mir just de folgende Kommando aus:

usbrip events history

O

python3 usbrip.py events history

Wou d'Evenementer gewise ginn. Am selwechte Wee kënne se no Deeg oder enger Rei vu Spezialfilteren gefiltert ginn.

Zum Beispill

usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

O

python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

Mat dëser Aktioun gëtt d'Informatioun vun all externen USB Geräter déi mat der Ausrüstung verbonne sinn an der Period vum 10. bis de 15. Oktober ugewisen.

Fir mat Filteren ze schaffen. Et gi 4 Typen vu Filter verfügbar: nëmmen extern USB Eventer (Apparater déi einfach ewechgeholl kënne ginn -e); nom Datum (-d); no Felder (–user, –vid, –pid, –produkt, –produktioun, –serial, –port) an no der Unzuel un Inputen déi als Ausgang kritt ginn (-n).

Fir eng JSON Datei mat den Eventer ze generéieren:

usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

O

python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

Wat enthält Informatioun iwwer déi éischt 10 Apparater, déi den 30. Oktober 2019 verbonne sinn.

Wann Dir méi iwwer d'Benotzung vun dësem Tool wësse wëllt kënnt Dir kuckt de folgende Link.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.