Usbrip: orodje za sledenje napravam USB

usbrip

Kdaj je sistemski skrbnik običajno v lnajbolj vsakdanja opravila, ki jih običajno opravljajo (poleg ustvarjanja in obnovitve e-poštnih gesel), obstaja vzdrževanje in nadzor opreme.

Kadar so na splošno, da bi se izognili tolikšnim težavam, so funkcionalnosti opreme v smislu namestitve aplikacij običajno omejene in poleg tega omejujejo znotraj poslovne mreže. Pri teh običajnih nalogah mnogi navadno podcenjujejo osebje ki uporablja opremo, tako da izvaja le preproste omejitve.

Nekaj ​​skrbnikov sistemov ki so odgovorni za to, da računalniki Linux sami sestavijo jedro za izvajanje omejitev, kjer vrata USB običajno obidejo.

Tu nastopi odlično orodje. ki sem ga našel na net surfanju. Njegovo ime je usbrip, ki po besedah ​​njegovega ustvarjalca

"Gre za odprtokodno forenzično orodje z vmesnikom CLI, ki vam omogoča sledenje artefaktom naprav USB (tj. Zgodovino dogodkov USB) na napravah Linux."

USBRip vam omogoča ogled bolj jasno z analizo dnevnikov Linuxa. Ta majhna programska oprema, napisana v čistem Pythonu 3 (z uporabo nekaterih zunanjih modulov), ki razčlenjuje dnevniške datoteke Linuxa ( / var / log / syslog * in / var / log / messages * odvisno od distribucije) za izdelavo tabel zgodovine dogodkov USB.

Znotraj informacij, ki jih navedete, prikaže se naslednje: Datum in čas prijave, uporabnik, ID ponudnika, ID izdelka, proizvajalec, serijska številka, vrata ter datum in čas odjave.

Poleg tega lahko:

  • Zbrane podatke izvozite v smetišče JSON (in taka odlagališča seveda odprite);
  • ustvari seznam pooblaščenih (zaupanja vrednih) naprav USB kot JSON (pokliči ga auth.json).
  • Poiščite dogodke "kršitve" na podlagi auth.json: prikažite (ali ustvarite drugo z JSON) naprave USB, ki se pojavijo v zgodovini in se ne prikažejo v auth.json.
  • Ko je nameščen z -s *, ustvari šifrirane shrambe (datoteke 7zip) za samodejno varnostno kopiranje in kopičenje dogodkov USB s pomočjo crontaba. Poleg tega, da lahko iščete dodatne podrobnosti o določeni napravi USB na podlagi njenih VID in / ali PID.

usbrip1

Kako namestiti Usbrip na Linux?

Za tiste, ki jih zanima, kako lahko namestite to orodje, mora imeti nameščen Python 3 v vašem sistemu kot tudi pip (sistem za upravljanje paketov Python)

Če želite namestiti Usbrip preprosto odprite terminal in vanj vnesite naslednji ukaz:

pip3 install usbrip
pip install terminaltables termcolor
pip install tqdm

Zdaj na enak način lahko prenesejo kodo projekta in od tam uporabljajo orodje. Če želite to narediti, morajo samo vtipkati s terminala:

git clone https://github.com/snovvcrash/usbrip.git usbrip

In nato vstopijo v imenik z:

cd usbrip

In odvisnosti rešujemo z:

python3 -m venv venv && source venv/bin/activate

Usbrip uporaba

Uporaba tega orodja je razmeroma preprosta. Torej to če si želimo ogledati zgodovino dogodkov, samo izvedemo naslednji ukaz:

usbrip events history

O

python3 usbrip.py events history

Kje bodo prikazani dogodki. Na enak način jih je mogoče filtrirati po dnevih ali vrstah posebnosti.

Npr

usbrip events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

O

python3 usbrip.py events history -e -d "Oct 10" "Oct 11" "Oct 12" "Oct 13" “Oct 14" "Oct 15"

S tem dejanjem bodo prikazane informacije o vseh zunanjih napravah USB, priključenih na opremo v obdobju od 10. do 15. oktobra.

Za delo s filtri. Na voljo so 4 vrste filtriranja: samo zunanji dogodki USB (naprave, ki jih je mogoče enostavno odstraniti -e); po datumu (-d); po poljih (– uporabnik, –vid, –pid, –izdelek, –izdelava, –serijski, –port) in po številu vhodov, dobljenih kot izhod (-n).

Če želite ustvariti datoteko JSON z dogodki:

usbrip events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

O

python3 usbrip.py events gen_auth /ruta/para/el/archivo.json -a vid pid -n 10 -d '2019-10-30'

Ki bo vseboval informacije o prvih 10 napravah, povezanih 30. oktobra 2019.

Če želite izvedeti več o uporabi tega orodja, lahko preverite naslednjo povezavo.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.