usbrip è uno strumento forense da riga di comando che consente di monitorare gli artefatti lasciati dai dispositivi USB. Scritto in Python3.
Analizza i log per creare tabelle di eventi, che possono contenere le seguenti informazioni: data e ora di connessione del dispositivo, utente, ID fornitore, ID prodotto, ecc.
Inoltre, lo strumento può eseguire le seguenti operazioni:
- esportare le informazioni raccolte come dump JSON;
- generare un elenco di dispositivi USB autorizzati (attendibili) sotto forma di JSON;
- rilevare eventi sospetti associati a dispositivi non presenti nell'elenco dei dispositivi autorizzati;
- creare archivi crittografati (archivi 7zip) per il backup automatico (questo è possibile se installato con il flag -s);
- cercare informazioni aggiuntive su un dispositivo USB specifico tramite il suo VID e/o PID.
Fonte: linux.org.ru