usbrip – це інструмент для форензики з інтерфейсом командного рядка, що дозволяє відстежувати артефакти USB-пристроями. Написаний на Python3.
Аналізує логи для побудови таблиць подій, які можуть містити таку інформацію: дата та час підключення пристрою, користувач, ідентифікатор вендора, ідентифікатор продукту та ін.
Крім цього інструмент може наступне:
- експортувати зібрану інформацію як дамп JSON;
- формувати список авторизованих (довірених) USB-пристроїв у вигляді JSON;
- виявляти підозрілі події, пов'язані з пристроями, яких немає у списку авторизованих пристроїв;
- створювати зашифровані сховища (7zip-архіви) для автоматичного резервного копіювання (це можливо при встановленні з прапором -s);
- пошук додаткових відомостей про конкретний USB-пристрій за його VID та/або PID.
Джерело: linux.org.ru