Содержание

Трекинг истории подключений USB-устройств в Linux-форензике
Синтаксис
Опции
1. Использование утилит
2. Экспортирование истории подключений
3. Использование cron и справки
Примеры использования
Видео:
Утилита по созданию правил для монтирования usb-flash накопителей

Трекинг истории подключений USB-устройств в Linux-форензике

Linux-форензика предоставляет уникальные возможности для анализа и трекинга истории подключений USB-устройств. Как известно, USB-устройства могут играть важную роль в различных преступных схемах, поэтому важно иметь возможность отслеживать, когда и какие устройства были подключены к системе. Для этого мы можем использовать различные инструменты и методы, предоставляемые ОС Linux, чтобы получить всю необходимую информацию.

Одним из основных инструментов в Linux для трекинга истории подключений USB-устройств являются логи. Linux записывает различные события и сообщения в лог-файлы, которые мы можем использовать для определения, когда и какие устройства были подключены или отключены от системы. К примеру, лог-файл «var/log/daemon.log» содержит информацию о различных событиях, связанных с устройствами, в том числе и USB-устройства.

Для успешного трекинга истории подключений USB-устройств в Linux, мы можем использовать инструмент под названием «usb-forensic». Данный инструмент предоставляет несколько опций, которые позволяют нам анализировать и экспортировать информацию о подключенных и отключенных USB-устройствах. С его помощью, мы можем просмотреть историю соединений с конкретного устройства, поставщика и идентификатора.

Также стоит отметить, что Linux предоставляет возможность создавать и использовать подмодули для более детального анализа и трекинга USB-устройств. Благодаря полям и событиям, доступным в логах, мы можем определить, когда и откуда было подключено/отключено устройство, а также идентифицировать авторизованных и недоверенных пользователей, использующих USB-устройства. Это позволяет нам более точно определить, кто имел доступ к системе в определенное время и какие именно действия совершались.

Синтаксис

Для отслеживания истории подключений USB-устройств в Linux можно использовать модуль usbmon. Он позволяет отслеживать события USB и получать информацию о подключенных устройствах.

usbmon создает файл, в котором хранятся сведения о подключенных usb-устройствах, таких как идентификатор устройства, дата и время подключения, и другие дополнительные сведения.

Чтобы получить доступ к файлу usbmon, необходимо экспортировать его из блочной файловой системы:

echo 1 > /sys/kernel/debug/usbmon/0s

После этого можно просмотреть историю подключений USB-устройств с помощью инструмента usbmon. Для этого нужно выполнить следующую команду:

cat /sys/kernel/debug/usb/usbmon/0u

Данные будут отображаться в виде строк с разделителями и полями, разделенными пробелами. Каждая строка представляет собой запись истории подключений USB-устройств.

Чтобы идентифицировать конкретное usb-устройство, можно использовать его идентификатор. Этот идентификатор можно найти в поле «number» каждой записи.

В следующих столбцах содержатся сведения об источнике, типе события, датах и времени, а также другие сведения о событии. Используя эти сведения, можно точно определить, какое usb-устройство было подключено и когда это произошло.

Также можно использовать дополнительные инструменты для анализа истории подключений USB-устройств. Например, можно создать скрипт на Python, который будет автоматически отслеживать подключения usb-устройств и записывать сведения о них в файл.

Опции

1. Использование утилит

В Linux существуют несколько утилит, которые могут помочь нам просматривать историю подключений USB-устройств. Одна из таких утилит — «lsusb», которая позволяет нам увидеть список подключенных устройств и их детали. Например, вы можете воспользоваться следующей командой для просмотра списка устройств:

lsusb

Также существуют утилиты, такие как «usb-ripper» и «usb-forensics-tools», которые позволяют нам получить более подробные сведения об истории подключений USB-устройств.

2. Экспортирование истории подключений

Когда у вас есть список устройств, вы можете выбрать несколько опций, чтобы сохранить это в файл для дальнейшего использования или анализа. Например, вы можете использовать команды «lsusb» и «usb-ripper» вместе для создания файла истории подключений:

lsusb -v 2>&1> usb_history.txt
usb-ripper >> usb_history.txt

Теперь у вас есть файл «usb_history.txt», который содержит все события, связанные с подключением USB-устройств. Вы можете использовать или анализировать его с помощью другого инструмента.

3. Использование cron и справки

В системе Linux вы также можете автоматизировать процесс сбора истории подключений USB-устройств, используя инструменты, такие как «cron». Например, вы можете создать задачу cron, чтобы запускать команду «lsusb» через определенные промежутки времени и записывать результат в файл.

Кроме того, важно помнить, что каждое USB-устройство имеет уникальный идентификатор, который позволяет идентифицировать устройство. Этот идентификатор может быть использован для дальнейшего анализа или поиска в истории подключений.

Все вышеперечисленные опции являются полезными при работе с историей подключений USB-устройств в Linux. Они позволяют нам получить подробные сведения о всех подключенных устройствах, а также сохранять и анализировать эту информацию.

Примеры использования

Для отслеживания истории подключений USB-устройств в Linux вы можете использовать различные утилиты и инструменты. Например, с помощью установленного модуля usbmon можно автоматически отслеживать usb-события и сохранять данные в файл.

Еще одной полезной утилитой является usbhid-dump, которая записывает данные с открытого usb-устройства в файл. Также существует утилита usbtop, которая отображает в реальном времени статистику подключенных usb-устройств.

Для дополнительной информации о usb-событиях и их истории, вы можете обратиться к системным журналам. Например, файл /var/log/daemon.log содержит информацию о usb-событиях. С помощью команды grep и фильтрации по ключевым словам, вы можете извлечь нужные данные.

Также есть возможность отследить авторизованные usb-устройства, используя файл trustedauth.json. В этом файле содержится список авторизованных устройств, которые могут подключаться к системе.

Для анализа истории подключений usb-устройств в Linux вы можете использовать инструменты для форензики, такие как Autopsy, Foremost и Sleuth Kit. Они позволяют провести более глубокий анализ и извлечь дополнительную информацию о подключенных usb-устройствах.

Для отслеживания истории подключений USB-устройств в Linux, можно использовать утилиты usbmon и lsusb.
С помощью команды usbhid-dump можно записывать данные с открытого usb-устройства в файл.
Утилита usbtop позволяет отображать статистику подключенных usb-устройств в реальном времени.
Данные об usb-событиях можно извлекать из системных журналов, например, из файла /var/log/daemon.log.
Файл trustedauth.json содержит список авторизованных usb-устройств.
Для более глубокого анализа истории подключений usb-устройств в Linux, можно использовать специальные инструменты для форензики.

Видео:

Утилита по созданию правил для монтирования usb-flash накопителей

Утилита по созданию правил для монтирования usb-flash накопителей by РЕД ОС 723 views 3 months ago 6 minutes, 1 second

Linux-форензика трекинг истории подключений USB-устройств