0
Home  ›  Forensic  ›  tools

Melacak History Penggunaan USB Menggunakan Usbrip

./X3NUX 3 min read

usbrip adalah alat forensik sumber terbuka dengan antarmuka CLI yang memungkinkan Anda melacak artefak perangkat USB (alias riwayat peristiwa USB, peristiwa "Tersambung" dan "Terputus") di mesin Linux.

usbrip adalah perangkat lunak kecil yang ditulis dengan Python 3 murni (menggunakan beberapa modul eksternal, lihat Dependensi/PIP) yang mem-parsing file log Linux ( /var/log/syslog* atau /var/log/messages* tergantung pada distronya) untuk membuat tabel riwayat peristiwa USB. Tabel tersebut mungkin berisi kolom berikut: "Terhubung" (tanggal & waktu), "Pengguna", "VID" (ID vendor), "PID" (ID produk), "Produk", "Produsen", "Nomor Seri", "Port" dan "Terputus" (tanggal & waktu).

Selain itu bisa juga 

  • mengekspor informasi yang dikumpulkan sebagai dump JSON (dan tentu saja membuka dump tersebut);
  • menghasilkan daftar perangkat USB resmi (tepercaya) sebagai JSON (sebut saja auth.json);
  • cari "peristiwa pelanggaran" berdasarkan auth.json: tampilkan (atau buat JSON lain dengan) perangkat USB yang muncul di riwayat dan TIDAK muncul di auth.json;
  • membuat penyimpanan terenkripsi (arsip 7zip) untuk secara otomatis mencadangkan dan mengakumulasi peristiwa USB dengan bantuan penjadwal crontab;
  • mencari detail tambahan tentang perangkat USB tertentu berdasarkan VID dan/atau PID-nya.
Karena Usbrip ditulis dengan Python, kita dapat menginstalnya menggunakan manajer paket Pip .
$ sudo apt install python3-venv p7zip-full
Untuk repository githubnya 
$ sudo apt install python3-venv p7zip-full
$ git clone https://github.com/snovvcrash/usbrip.git usbrip
$ cd usbrip
$ chmod +x ./installers/install.sh
$ sudo -H ./installers/install.sh -s
Untuk menampilkan riwayat koneksi perangkat USB, jalankan:
$ usbrip events history
Kemudinan ditanya apakah Anda ingin menampilkan riwayat peristiwa USB dalam output standar atau dalam file JSON. Jika ingin menampilkan hasilnya, cukup tekan ENTER (yang default) atau ketik nomor 2 untuk menyimpannya dalam file JSON.
                   
         _     {{4}}    {v2.2.2-1}
 _ _ ___| |_ ___[e]___ 
| | |_ -| . |  _[n] . |
|___|___|___|_| [5]  _|
               x[1]_|   https://github.com/snovvcrash/usbrip
                       

[*] Started at 2021-03-27 14:28:31
[14:28:31] [INFO] Trying to run journalctl...
[14:29:10] [INFO] Successfully runned journalctl
[14:29:11] [INFO] Reading journalctl output
100%|█████████████████████████████| 912197/912197 [00:04<00:00 1.="" 188838.07line="" 2.="" be="" event="" generated="" history="" how="" json-file="" like="" list="" s="" stdout="" terminal="" to="" would="" you="" your="">] Please enter the number of your choice (default 1): 1
[14:29:48] [INFO] Preparing collected events
[14:29:48] [WARNING] Terminal window is too small to display table properly
[14:29:48] [WARNING] Representation: list

USB-History-Events
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
Connected:      2020-12-26 21:24:23
Host:           ostechnix
VID:            0cf3
PID:            3002
Product:        ∅
Manufacturer:   ∅
Serial Number:  ∅
Bus-Port:       1-1.4
Disconnected:   2020-12-26 21:24:24
.
.
.
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
Connected:      2021-03-27 11:52:19
Host:           ostechnix
VID:            046d
PID:            c52b
Product:        USB Receiver
Manufacturer:   Logitech
Serial Number:  ∅
Bus-Port:       1-1.2
Disconnected:   ∅
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
[*] Shut down at 2021-03-27 14:29:48
[*] Time taken: 0:01:17.624936
Secara default, Usbrip akan menampilkan hasilnya dalam format kolom tabel. Karena jendela Terminal saya terlalu kecil untuk menampilkan tabel dengan benar, outputnya ditampilkan dalam format daftar. Jika Anda ingin memaksa Usbrip untuk menampilkan hasilnya dalam format kolom tabel, tambahkan -t tanda:
$ usbrip events history -t
Kamu dapat menyesuaikan output sesuai keinginan Anda. Dalam contoh berikut, saya menggunakan -q/--quietf lag untuk menyembunyikan banner dan informasi pengguna lainnya, -l/--list untuk menampilkan output dalam format daftar dan -n/--number untuk menampilkan jumlah output tertentu.
$ usbrip events history
Ketik 2 ketika kamu diminta untuk memilih bagaimana Anda ingin menyimpan hasilnya. kamu akan diminta lagi untuk memasukkan lokasi nama file keluaran. Cukup masukkan lokasi pilihan Anda atau tekan ENTER untuk menyimpannya ke file default yang disebut history.jsondalam $HOMEdirektori.
                   
         _     {{4}}    {v2.2.2-1}
 _ _ ___| |_ ___[3]___ 
| | |_ -| . |  _[N] . |
|___|___|___|_| [5]  _|
               x[1]_|   https://github.com/snovvcrash/usbrip
                       

[*] Started at 2021-03-29 11:49:40
[11:49:40] [INFO] Trying to run journalctl...
[11:49:41] [INFO] Successfully ran journalctl
[11:49:41] [INFO] Reading journalctl output
100%|███████████████████████████████| 15910/15910 [00:00<00:00 1.="" 2.="" 235574.33line="" be="" event="" generated="" history="" how="" json-file="" like="" list="" s="" stdout="" terminal="" to="" would="" you="" your="">] Please enter the number of your choice (default 1): 2
[>] Please enter the output file name (default is "history.json"): 
[11:49:46] [INFO] Generating event history list (JSON)
[11:49:46] [INFO] New event history list: "/home/ostechnix/history.json"
[*] Shut down at 2021-03-29 11:49:46
[*] Time taken: 0:00:05.852216
Kamu bisa membukannnya dengan menggunakan perintah.
$ usbrip events open history.json
Perintah lainnya ialah 
$ usbrip events history -q -e
$ usbrip events history -q -d '2021-01-01' '2021-03-29
$ usbrip events history -q -c conn disconn serial prod -n 20
$ usbrip events history -q -c conn disconn serial prod --manufact Logitech -n 15
Resourch


./X3NUX
Mereka teralu banyak mengusik, maka bunuh dan dan matilah sekarang juga!!!!
Post a Comment
Search
Menu
Theme
Share
Additional JS