usbrip é uma ferramenta forense de linha de comando que permite rastrear artefatos deixados por dispositivos USB. Escrito em Python3.
Analisa logs para construir tabelas de eventos, que podem conter as seguintes informações: data e hora de conexão do dispositivo, usuário, ID do fornecedor, ID do produto, etc.
Além disso, a ferramenta pode fazer o seguinte:
- exportar informações coletadas como um despejo JSON;
- gerar uma lista de dispositivos USB autorizados (confiáveis) no formato JSON;
- detectar eventos suspeitos associados a dispositivos que não estão na lista de dispositivos autorizados;
- criar armazenamento criptografado (arquivos 7zip) para backup automático (isso é possível quando instalado com o sinalizador -s);
- procure informações adicionais sobre um dispositivo USB específico por seu VID e/ou PID.
Fonte: linux.org.ru