usbrip は、USB デバイスに残されたアーティファクトを監視できるコマンドライン フォレンジック ツールです。 Python3で書かれています。
ログを分析してイベント テーブルを作成します。イベント テーブルには、デバイスの接続日時、ユーザー、ベンダー ID、製品 ID などの情報が含まれる場合があります。
さらに、このツールは次のことを実行できます。
- 収集した情報を JSON ダンプとしてエクスポートします。
- 認証された (信頼された) USB デバイスのリストを JSON 形式で生成します。
- 許可されたデバイスのリストにないデバイスに関連する不審なイベントを検出します。
- 自動バックアップ用に暗号化ストレージ (7zip アーカイブ) を作成します (これは、-s フラグを指定してインストールした場合に可能です)。
- 特定の USB デバイスに関する追加情報を、その VID や PID によって検索します。
出所: linux.org.ru