USBTracker - это скрипт Python для быстрого и грязно закодированного реагирования на инциденты и криминалистической экспертизы, предназначенный для сброса информации и артефактов, связанных с USB, из ОС Windows (Vista и более поздних версий).
Примечание. USBTracker читает некоторые защищенные файлы журналов, и его необходимо запускать с правами администратора. Самый простой способ запустить USBTracker - запустить консоль CMD или Powershell, щелкнув правой кнопкой мыши «Запуск от имени администратора», а затем выполнить внутри нее сценарий / exe.
Если у вас не установлен дистрибутив python на компьютере, который вы хотите анализировать с помощью USBTracker, вы также можете загрузить из репозитория скомпилированную версию * .exe скрипта с помощью PyInstaller.
Он использует модуль Python под названием Python-evtx. Так что не забудьте установить его перед использованием USBTracker.
Использование:
usage: usbtracker.py [-h] [-u | -uu] [-nh] [-df] [-x]
optional arguments:
-h, --help show this help message and exit
-u, --usbstor Dump USB artifacts from USBSTOR registry
-uu, --usbstor-verbose
Dump USB detailed artifacts from USBSTOR registry.
-nh, --no-hardwareid Hide HardwareID value during a USBSTOR detailed
artifacts registry dump.
-df, --driver-frameworks
Dump USB artifacts and events from the Windows
DriverFrameworks Usermode log.
-x, --raw-xml-event Display event results in raw xml (with -df option
only).
https://github.com/sysinsider/usbtracker