usbrip es una herramienta forense de línea de comandos que le permite rastrear artefactos dejados por dispositivos USB. Escrito en Python3.
Analiza registros para crear tablas de eventos, que pueden contener la siguiente información: fecha y hora de conexión del dispositivo, usuario, ID de proveedor, ID de producto, etc.
Además, la herramienta puede hacer lo siguiente:
- exportar la información recopilada como un volcado JSON;
- generar una lista de dispositivos USB autorizados (confiables) en forma de JSON;
- detectar eventos sospechosos asociados con dispositivos que no están en la lista de dispositivos autorizados;
- crear almacenamiento cifrado (archivos 7zip) para realizar copias de seguridad automáticas (esto es posible cuando se instala con el indicador -s);
- busque información adicional sobre un dispositivo USB específico por su VID y/o PID.
Fuente: linux.org.ru