DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Computer Forensics: Trích lục các kết nối USB đã gắn vào máy tính chạy Linux của bạn
Các thiết bị có đầu nối USB rất phổ biến, chúng có thể là thiết bị lưu trữ thông tin (ổ đĩa flash, ổ đĩa ngoài), bàn phím, chuột, điện thoại, máy in, card âm thanh và tai nghe, và thậm chí cả các thiết bị được lập trình đặc biệt, chẳng hạn như vượt qua mật khẩu màn hình đăng nhập, đánh cắp mật khẩu (usb keylogger). Trong mọi trường hợp, kết nối trái phép của bất kỳ thiết bị nào đến máy tính đều gây ra những nguy cơ tiềm ẩn nhất định.
Ở bài viết trước mod @Thriuenug, đã chia sẻ cách để trích lục các kết nối USB gắn vào máy tính trên hệ điều hành Windows. Trong bài viết này, mình hướng dẫn các bạn cách thực hiện việc này trên Linux. Công cụ có tên usbrip. Nó giúp xem lịch sử kết nối thiết bị USB với máy tính Linux.
Trên các bản phân phối Linux, để cài usbrip, bạn chạy lệnh:
sudo -H python3 -m pip install -U usbrip
Cách xem lịch sử kết nối của các thiết bị USB
Chạy lệnh: usbrip events history. Bản thân chương trình sẽ tìm các tệp nhật ký, và hiển thị kết quả. Công cụ cho phép hiển thị kết quả đầu ra theo hai dạng: Terminal stdout và JSON-file.
Các trường thông tin bao gồm:
Connected - ngày và giờ thiết bị được kết nối
Host - tên máy chủ
VID - ID nhà cung cấp - mã định danh của nhà sản xuất
PID - ID sản phẩm - mã định danh sản phẩm
Product - tên thiết bị
Manufacturer - nhà sản xuất thiết bị
Serial Number - số seri
Port - cổng USB được kết nối
Disconnected - ngày và giờ khi thiết bị bị ngắt kết nối
Trong trường hợp bạn muốn hiển thị 3 lịch sử kết nối gần nhất vào máy tính, bạn chỉ cần chạy lệnh:
Với usbrip, chúng ta có thể tìm kiếm cơ sở dữ liệu bằng VID và PID. Để tải cơ sở dữ liệu, bạn dùng lệnh:
Với tùy chọn --vid giúp tìm kiếm theo ID nhà cung cấp, tùy chọn --pid giúp tìm kiếm theo ID sản phẩm. Đồng thời, mỗi khi bắt đầu tìm kiếm, usbrip sẽ cập nhật và tải cơ sở dữ liệu đã có trong hệ thống - điều này mất thêm thời gian, vì vậy chúng ta có thể sử dụng tùy chọn --offline để sử dụng cơ sở dữ liệu cục bộ trong quá trình tìm kiếm:
Tùy chọn c cho phép hiển thị bộ lọc theo các tham số mong muốn:
Tùy chọn d cho phép lọc kết quả theo ngày tháng năm.
Nếu bạn muốn tạo danh sách các thiết bị usb được phép kết nối với máy tính, bạn có thể sử dụng tham số genauth
Ví dụ, để tạo danh sách các thiết bị USB đáng tin cậy dưới dạng tệp JSON (trust/auth.json) với các thuộc tính VID và PID chứa ba thiết bị đầu tiên được kết nối vào ngày 2021-08-08:
Để tìm kiếm lịch sử kết nối của các thiết bị USB bên ngoài để xem các vi phạm dựa trên danh sách các thiết bị USB đáng tin cậy (trust/auth.json) theo thuộc tính PID:
Ở bài viết trước mod @Thriuenug, đã chia sẻ cách để trích lục các kết nối USB gắn vào máy tính trên hệ điều hành Windows. Trong bài viết này, mình hướng dẫn các bạn cách thực hiện việc này trên Linux. Công cụ có tên usbrip. Nó giúp xem lịch sử kết nối thiết bị USB với máy tính Linux.
Trên các bản phân phối Linux, để cài usbrip, bạn chạy lệnh:
sudo -H python3 -m pip install -U usbrip
Cách xem lịch sử kết nối của các thiết bị USB
Chạy lệnh: usbrip events history. Bản thân chương trình sẽ tìm các tệp nhật ký, và hiển thị kết quả. Công cụ cho phép hiển thị kết quả đầu ra theo hai dạng: Terminal stdout và JSON-file.
Các trường thông tin bao gồm:
Connected - ngày và giờ thiết bị được kết nối
Host - tên máy chủ
VID - ID nhà cung cấp - mã định danh của nhà sản xuất
PID - ID sản phẩm - mã định danh sản phẩm
Product - tên thiết bị
Manufacturer - nhà sản xuất thiết bị
Serial Number - số seri
Port - cổng USB được kết nối
Disconnected - ngày và giờ khi thiết bị bị ngắt kết nối
Trong trường hợp bạn muốn hiển thị 3 lịch sử kết nối gần nhất vào máy tính, bạn chỉ cần chạy lệnh:
Với usbrip, chúng ta có thể tìm kiếm cơ sở dữ liệu bằng VID và PID. Để tải cơ sở dữ liệu, bạn dùng lệnh:
Với tùy chọn --vid giúp tìm kiếm theo ID nhà cung cấp, tùy chọn --pid giúp tìm kiếm theo ID sản phẩm. Đồng thời, mỗi khi bắt đầu tìm kiếm, usbrip sẽ cập nhật và tải cơ sở dữ liệu đã có trong hệ thống - điều này mất thêm thời gian, vì vậy chúng ta có thể sử dụng tùy chọn --offline để sử dụng cơ sở dữ liệu cục bộ trong quá trình tìm kiếm:
Tùy chọn c cho phép hiển thị bộ lọc theo các tham số mong muốn:
Tùy chọn d cho phép lọc kết quả theo ngày tháng năm.
Nếu bạn muốn tạo danh sách các thiết bị usb được phép kết nối với máy tính, bạn có thể sử dụng tham số genauth
Ví dụ, để tạo danh sách các thiết bị USB đáng tin cậy dưới dạng tệp JSON (trust/auth.json) với các thuộc tính VID và PID chứa ba thiết bị đầu tiên được kết nối vào ngày 2021-08-08:
Để tìm kiếm lịch sử kết nối của các thiết bị USB bên ngoài để xem các vi phạm dựa trên danh sách các thiết bị USB đáng tin cậy (trust/auth.json) theo thuộc tính PID:
Chỉnh sửa lần cuối bởi người điều hành: