BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG VIỆT NAM

BÁO CÁO BÀI TẬP LỚN
Chủ đề: USBRIP
Mơn học: An tồn mạng

1


Mục lục
DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT ..........................4
DANH MỤC HÌNH ẢNH .........................................................................................5
LỜI CẢM ƠN ............................................................................................................6
I.

GIỚI THIỆU VỀ USBRIP .................................................................................7

1.

Usbrip là gì? .......................................................................................................7

2.

Các tính năng của USBRIP ................................................................................8

3.

a.

Tìm truy cập USB trái phép .......................................................................8

b.

Tìm chi tiết thiết bị USB ............................................................................8

c.

Sao lưu các sự kiện USB ............................................................................8

Cách thức hoạt động ..........................................................................................9
a.

Các cuộc tấn cơng HID là gì? ....................................................................9

b.

Phát hiện Ducky .......................................................................................10

II.

CÀI ĐẶT USBRIP ..........................................................................................10

1.

Định cấu hình lại một số tệp Linux..................................................................11

2.

Cài đặt USBRIP ...............................................................................................13


III.

HƯỚNG DẪN SỬ DỤNG VÀ DEMO .........................................................16

1.

Các lệnh trong USBRip ...................................................................................16
a.

Lệnh events ..............................................................................................17

b.

Lệnh storage .............................................................................................17

c.

Lệnh ids ....................................................................................................18

2.

Cách xem lịch sử kết nối USB trong Linux .....................................................19

3.

Cách kiểm tra tệp từ hệ thống khác trong usbrip .............................................21

4.

Cách tìm loại thiết bị USB và nhà sản xuất của nó .........................................22


5. Chỉ hiển thị thơng tin cho các thiết bị di động, cho một thiết bị USB cụ thể
hoặc cho những ngày cụ thể.....................................................................................24
a.

Chỉ hiển thị các thiết bị có thể tháo rời ....................................................24

b. Lọc theo trường bảng, các tùy chọn: --user , --vid , --pid , --product , -man production , --serial , --port ......................................................................25
2


c.

Sắp xếp theo ngày tháng ..........................................................................25

6.

Chỉ hiển thị một số thông tin nhất định ...........................................................25

7.

Tạo tệp JSON để lọc các thiết bị đáng tin cậy .................................................27

8.

Tạo danh sách các thiết bị đáng tin cậy ...........................................................30

9.

Phát hiện kết nối của thiết bị USB nước ngồi với máy tính trong Linux ......31


10.

Lưu kết quả vào một tệp .................................................................................33

IV. KẾT LUẬN........................................................................................................34
Tài liệu tham khảo....................................................................................................35

3


DANH SÁCH CÁC THUẬT NGỮ TIẾNG ANH VÀ VIẾT TẮT
Viết tắt
VID
PID
JSON
IP
HOST
HID

Thuật ngữ Tiếng Anh
Vendor identification
Product identification
JavaScript Object Notation
Internet protocol
Hybrid open systems
technology
Human Interface Device

Thuật ngữ Tiếng Việt

Mã định danh nhà cung cấp
Mã định danh sản phẩm
Định dạng dữ liệu
Giao thức Internet
Máy Chủ
Thiết bị giao diện người
dùng

4


DANH MỤC HÌNH ẢNH
Hình 1 Truy cập vào thư mục rsyslog.conf .............................................................11
Hình 2 Thêm dấu # trước dịng lệnh ........................................................................12
Hình 3 Cài đặt USBRip bằng lệnh git......................................................................14
Hình 4 Khởi động usbrip .........................................................................................15
Hình 5 Hình ảnh minh họa cài đặt thành cơng ........................................................15
Hình 6 Danh sách các lệnh trong USBRip ..............................................................16
Hình 7 Cách xem lịch sử kết nối USB trong Linux .................................................20
Hình 8 Tệp từ hệ thống khác trong USBRip ...........................................................21
Hình 9 Loại thiết bị và nhà sản xuất ........................................................................23
Hình 10 Lịch sử các thiết bị .....................................................................................24
Hình 11 Thời gian kết nối và ngắt ...........................................................................26
Hình 12 Tệp auth.json ..............................................................................................28
Hình 13 ~# usbrip events violations auth.json --table .............................................29
Hình 14 Các thiết bị khơng có trong danh sách các thiết bị đáng tin cậy................30
Hình 15 Phát hiện usb ngồi kết nối với máy tính...................................................32

5



LỜI CẢM ƠN
Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Cơng nghệ Bưu chính
Viễn thơng đã đưa mơn học An Tồn Mạng vào chương trình dạy học. Đặc biệt em
xin gửi lời cảm ơn Thầy Đặng Minh Tuấn đã hướng dẫn và truyền đạt kiến thức
cho em trong suốt thời gian học vừa qua. Thầy đã giúp em hiểu tầm quan trọng của
mơn An Tồn Mạng và cách áp dụng đó vào thực tiễn của đời sống. Bên cạnh đó
thầy cịn chỉ dạy thêm nhiều kiến thức khác ngồi lề, có ích cho tất cả các ngành
trong trường. Mơn học này đã giúp em có thêm kiến thức chuyên môn về chuyên
ngành mà em đang học và kiến thức về việc làm một bài báo cáo tốt nghiệp điều
này là rất cần thiết đối với một sinh viên năm cuối như em.
Lời cuối cùng, em xin cảm ơn và kính chúc thầy ln khỏe mạnh, thành công và
hạnh phúc trong cuộc sống.

Hà Nội, 22 tháng 12 năm 2021
Sinh Viên
Phạm Trần Hồng Quân

6


I.

GIỚI THIỆU VỀ USBRIP
1. Usbrip là gì?

Usbrip là một cơng cụ pháp y dòng lệnh để theo dõi lịch sử của tất cả các kết nối
thiết bị USB trong Linux. Nó phân tích dữ liệu nhật ký của hệ thống của bạn
bằng journelctl lệnh hoặc từ các tệp nhật ký chẳng hạn như /var/log/syslog
và /var/log/messages và hiển thị lịch sử sự kiện USB đã thu thập ở đầu ra tiêu

chuẩn hoặc một tệp.
Chương trình usbrip theo dõi các tạo tác thiết bị USB và liệt kê chúng dưới các cột
sau:
•
•
•
•
•
•
•
•
•

Connected (date & time)
Host
VID (vendor ID)
PID (product ID)
Product
Manufacturer
Serial Number
Port
Disconnected (date & time)

/Thời gian kết nối
/Tổ chức
/ID nhà cung cấp
/ID sản phẩm
/Thiết bị
/Nhà sản xuất
/Số seri

/Cổng
/Thời gian ngắt kết nối

Bên cạnh đó, nó cũng có thể:
•
•
•
•

•

Xuất dữ liệu đã thu thập dưới dạng kết xuất JSON để sử dụng sau này.
Tạo danh sách các thiết bị USB được ủy quyền (đáng tin cậy) dưới dạng tệp
JSON (gọi nó là auth.json).
Tìm kiếm "sự kiện vi phạm" dựa trên auth.json: khám phá các thiết bị USB
xuất hiện trong lịch sử và KHÔNG xuất hiện trong tệp auth.json.
*when installed with -s flag* Tạo kho lưu trữ được bảo vệ (lưu trữ 7-Zip) để
tự động sao lưu và tích lũy các sự kiện USB với sự trợ giúp của bộ lập lịch
cron.
Tìm kiếm chi tiết bổ sung về một thiết bị USB cụ thể dựa trên VID và / hoặc
PID của nó.

7


2. Các tính năng của USBRIP
a. Tìm truy cập USB trái phép
Đây là mục đích chính của cơng cụ Usbrip. Sử dụng cơng cụ usbrip, chúng
tơi có thể chứng minh rằng một thiết bị USB đã được kết nối với một hệ thống
Linux cụ thể, bởi một người dùng cụ thể, trong một khoảng thời gian cụ thể. Nói

chung, chúng ta có thể sử dụng Usbrip trong mọi trường hợp có liên quan đến thiết
bị USB.
Như đã nêu, bạn có thể xuất tất cả các chi tiết kết nối USB trong một JSONtệp. Tại
sao chúng tôi kết xuất các chi tiết trong một tệp JSON? Bởi vì, chúng ta có thể dễ
dàng tìm kiếm bất kỳ "sự kiện vi phạm" nào. Ví dụ: chúng tơi có thể tạo một tệp,
giả sử auth.jsonvà lưu trữ danh sách các thiết bị USB được ủy quyền hoặc đáng tin
cậy trong tệp đó.
Các auth.jsontập tin có thể được sử dụng để điều tra xem các thiết bị USB được kết
nối và cho dù họ là những thiết bị có thẩm quyền hay khơng. Bằng cách này, bạn
có thể biết được liệu người dùng nào đó đã sao chép nội dung nào đó từ hệ thống
của bạn mà khơng có sự cho phép của bạn hay không.
Xin lưu ý rằng nếu bạn cài đặt usbrip bằng tập lệnh trình cài đặt, auth.jsontệp sẽ
được tự động tạo ở vị trí /var/opt/usbrip/trusted/tại thời điểm cài đặt. Bạn cũng có
thể tạo của riêng bạn ở bất kỳ vị trí nào bạn chọn.
b. Tìm chi tiết thiết bị USB
Nếu bạn muốn biết chi tiết thông số kỹ thuật của thiết bị USB, bạn có thể dễ dàng
lấy chúng bằng cách sử dụng VID hoặc PID của nó. Usbbrip sẽ lấy thông tin chi
tiết về nhà cung cấp, thiết bị và giao diện từ usb.ids cơ sở dữ liệu được duy trì
tại .
c. Sao lưu các sự kiện USB
Nếu bạn đã cài đặt thủ công Usbrip với tùy chọn -s( --storages), bạn có thể tự động
sao lưu các sự kiện USB với bộ lập lịch crontab .

8


3. Cách thức hoạt động
Nếu không được giám sát, một tin tặc có USB Rubber Ducky và quyền truy cập
vật lý vào máy tính có thể xâm nhập vào cả máy tính an tồn nhất. Các cuộc tấn
cơng như vậy thường không bị phát hiện nếu không sử dụng một cơng cụ như

USBRip, có thể cung cấp cho bạn sự đảm bảo rằng thiết bị của bạn không bị xâm
phạm.
Mặc dù có thể khó biết liệu thiết bị của bạn đã được truy cập trước đây hay chưa,
nhưng việc bật tính năng ghi nhật ký có thể giúp bạn dễ dàng xác định thời điểm
thiết bị đáng ngờ đã được lắp vào cổng. USBRip không thể xem qua nhật ký hệ
thống cũ để nắm bắt các sự kiện trong quá khứ, nhưng nó có thể theo dõi mọi thứ
xảy ra sau khi cài đặt để đề phịng bị tấn cơng trong tương lai.
a. Các cuộc tấn cơng HID là gì?
Thiết bị giao diện người, hay HID, là bất kỳ thiết bị nào được con người sử dụng
để điều khiển máy tính; bàn phím và chuột máy tính là những ví dụ nổi bật. HID
có đặc quyền cao hơn so với một chương trình hoặc một tập lệnh vì hệ điều hành
giả định rằng các lệnh từ HID đến từ một người có quyền sử dụng máy tính.
Tin tặc đã tạo ra các công cụ, chẳng hạn như USB Rubber Ducky, khai thác sự tin
cậy vốn có giữa máy tính và HID. Trong khi USB Rubber Ducky bắt chước giao
diện của một ổ đĩa flash tiêu chuẩn, khi được cắm vào máy tính, nó hoạt động như
một bàn phím có thể nhập các lệnh và tổ hợp phím đã được ghi sẵn ở tốc độ cực
nhanh.
Các loại tấn công mà tin tặc đã thực hiện bằng cách sử dụng USB Rubber
Ducky, Digispark và các cơng cụ tương tự có phạm vi rộng lớn; chúng bao gồm
từ việc tạo một cửa hậu trên máy tính macOS và Windows đến việc gửi email có
ảnh chụp màn hình của tất cả thơng tin đăng nhập của người dùng được lưu trữ
trong Firefox.

9


b. Phát hiện Ducky
Bởi vì máy tính tin rằng USB Rubber Ducky chỉ là một bàn phím khác, nó sẽ thực
hiện các lệnh ngay lập tức mà không đưa ra bất kỳ cảnh báo rõ ràng nào cho mục
tiêu rằng chúng đã bị xâm phạm. Miễn là Ducky Script cẩn thận trong việc dọn

dẹp sau chính nó - bằng cách đóng tất cả các cửa sổ mà nó đã mở, xóa lịch sử thiết
bị đầu cuối và làm cho máy tính có vẻ ở trạng thái giống như mục tiêu đã để nó một cuộc tấn cơng có thể hồn tồn khơng bị phát hiện. .
Điều đó khơng có nghĩa là không thể ngăn chặn hoặc phát hiện các loại tấn cơng
này. Có một số cơng cụ trên mạng, chẳng hạn như DuckHunter , nhằm hạn chế tác
động của các cuộc tấn công HID bằng cách theo dõi các hành vi đáng ngờ như
thao tác gõ phím quá nhanh. Trong khi dự án DuckHunter chưa được cập nhật kể
từ năm 2017, có một cơng cụ khác có thể cung cấp bằng chứng về một cuộc tấn
công HID, công cụ này vừa mạnh mẽ và hiện đang được duy trì.
USBRip tận dụng nhật ký hệ thống để hiển thị lịch sử đầy đủ của mọi thiết bị USB
được cắm vào máy tính Linux. Mặc dù kẻ tấn cơng có thể xóa các nhật ký này như
một phần của quá trình dọn dẹp, nhưng ít có khả năng chúng đã làm như vậy qua
các bước dọn dẹp quan trọng và tốn thời gian hơn như xóa mọi bằng chứng trực
tiếp về việc đã truy cập vào máy tính. Thậm chí tốt hơn, vì USB Rubber Ducky và
Digispark đều được sản xuất bởi các nhà sản xuất cụ thể, USBRip có thể xem qua
nhật ký cho các thiết bị có dấu vân tay đáng ngờ.

II.

CÀI ĐẶT USBRIP

USBRip được viết bằng Python, là nền tảng đa nền tảng và sẽ cho phép USBRip
chạy trên hầu hết các hệ thống Linux. Tuy nhiên, vì nó chủ yếu phân tích nhật ký
hệ thống Linux, nó hiện chỉ chạy trên các thiết bị Linux.
Đảm bảo hệ thống của bạn được cập nhật và nâng cấp đầy đủ bằng cách sử
dụng lệnh cập nhật apt và lệnh nâng cấp apt , sau đó đảm bảo Python được cài
đặt bằng cách nhập python trong cửa sổ đầu cuối. Nếu bạn nhận được một trình

10



bao Python tương tác, bạn đã có mọi thứ mình cần và có thể gõ lệnh thốt () để
thốt. Nếu khơng, bạn có thể cài đặt Python bằng cách chạy apt install python .

1. Định cấu hình lại một số tệp Linux
Để cho phép USBRIP phân tích cú pháp các bản ghi hệ thống một cách chính
xác, chúng ta phải định cấu hình một số tệp trong thư mục gốc.
Đầu tiên, chúng ta sẽ phải xóa một dịng khỏi tệp /rsyslog.conf. Trong trường
hợp bạn muốn gỡ cài đặt USBRip và khơi phục máy tính về trạng thái ban đầu
thì sẽ đơn giản hơn, bạn chỉ cần comment nó ra.
Sử dụng cửa sổ dịng lệnh, mở tệp rsyslog.conf bằng trình soạn thảo văn bản
u thích của bạn. Nó sẽ nằm trong thư mục / etc của bạn và bạn có thể chuyển
ngay sang chỉnh sửa tệp.

Hình 1 Truy cập vào thư mục rsyslog.conf

11


Sau khi nó mở ra, hãy cuộn xuống dịng có nội dung:
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

Tiếp theo, đặt dấu # ở phía trước nó. Phần đó bây giờ sẽ trơng giống như thế này:

Hình 2 Thêm dấu # trước dịng lệnh
Bây giờ, hãy lưu và thốt khỏi tệp, cẩn thận khơng thay đổi tên của tệp. Sau khi
sửa đổi cách cũ mà máy tính của chúng ta lưu trữ nhật ký hệ thống, chúng ta phải
thay thế nó bằng phương thức mà USBRip có thể sử dụng. Trong cùng một cửa
sổ dịng lệnh, hãy nhập lệnh bên dưới.

~# echo '$ActionFileDefaultTemplate RSYSLOG__FileFormat' | tee

/etc/rsyslog.d/usbrip.conf
$ActionFileDefaultTemplate RSYSLOG__FileFormat

12


Điều đó tạo ra một tệp .conf mới mà USBRip sẽ sử dụng với một định dạng khác
để lưu trữ nhật ký hệ thống. Tiếp theo, chúng ta phải xóa các bản ghi hệ thống
hiện tại của máy tính, các bản ghi có định dạng sai. Chúng ta có thể làm điều đó
với lệnh sau.

~# rm -f /var/log/syslog* /var/log/messages*
Cuối cùng, chúng ta cần khởi động lại rsyslog bằng lệnh bên dưới. Sau khi hồn
tất, chúng ta có thể chuyển sang cài đặt chương trình.
~# systemctl restart rsyslog

2. Cài đặt USBRIP
Bây giờ các tệp hệ thống đã được định cấu hình đúng cách, chúng ta có thể cài
đặt USBRip. Bắt đầu bằng cách điều hướng đến thư mục bạn chọn trong cửa sổ
đầu cuối và sao chép kho lưu trữ git bằng lệnh sau.
~# git clone />
13


Hình 3 Cài đặt USBRip bằng lệnh git

Sau đó, điều hướng đến thư mục nhân bản và bắt đầu cài đặt các thư viện và phụ
thuộc Python cần thiết. Để làm như vậy với pip và để sử dụng trình cài đặt
setup.py, hãy xem hướng dẫn bằng video của chúng tôi.


~# cd usbrip
~/usbrip# chmod +x ./installers/install.sh
~/usbrip# sudo -H ./installers/install.sh -s
>>>> Creating directory: '/opt/usbrip'
>>>> /opt/usbrip already exists. First run:
sudo uninstall.sh –all

Tiếp theo, thoát thư mục / usbrip và khởi động trang trợ giúp để kiểm tra những gì
ở đó.

14


~/usbrip# cd
~# usbrip -h
sage: usbrip [-h] {banner,events,storage,ids} ...
positional arguments:
{banner,events,storage,ids}
banner
show tool banner
events
work with USB events
storage
work with USB event storage
ids
work with USB IDs
optional arguments:
-h, --help
show this help message and exit
Hình 4 Khởi động usbrip

Bây giờ, chúng ta có thể kiểm tra xem USBRip đã được cài đặt chính xác hay chưa
bằng cách nhập usbrip vào thiết bị đầu cuối và đảm bảo rằng chúng ta nhận được
màn hình hiển thị sau.

Hình 5 Hình ảnh minh họa cài đặt thành cơng
15


Nếu bạn thấy điều đó, thì chúng ta đã hồn tất bước cài đặt USBRip đầu tiên.

III.

HƯỚNG DẪN SỬ DỤNG VÀ DEMO
1. Các lệnh trong USBRip

Để kiểm tra xem tất cả các lệnh có sẵn trong USBRip, chúng ta có thể thực
hiện bằng cách sau: usbrip -h

Hình 6 Danh sách các lệnh trong USBRip

16


a. Lệnh events

- Dùng để hiển thị danh sách các sự kiện
- Các lệnh con trong events:
~$ usbrip events history [-t | -l] [-e] [-n <NUMBER_OF_EVENTS>] [-d <DATE> [<DATE>
...]] [--host <HOST> [<HOST> ...]] [--vid <VID> [<VID> ...]] [--pid <PID> [<PID> ...]] [--prod
<PROD> [<PROD> ...]] [--manufact <MANUFACT> [<MANUFACT> ...]] [--serial

<SERIAL> [<SERIAL> ...]] [--port <PORT> [<PORT> ...]] [-c <COLUMN> [<COLUMN>
...]] [-f <FILE> [<FILE> ...]] [-q] [--debug]
•

Lấy lịch sử sự kiện USB

~$ usbrip events open <DUMP.JSON> [-t | -l] [-e] [-n <NUMBER_OF_EVENTS>] [-d
<DATE> [<DATE> ...]] [--host <HOST> [<HOST> ...]] [--vid <VID> [<VID> ...]] [--pid
<PID> [<PID> ...]] [--prod <PROD> [<PROD> ...]] [--manufact <MANUFACT>
[<MANUFACT> ...]] [--serial <SERIAL> [<SERIAL> ...]] [--port <PORT> [<PORT> ...]] [-c
<COLUMN> [<COLUMN> ...]] [-q] [--debug]
•

Mở kết xuất sự kiện USB

~$ sudo usbrip events genauth <OUT_AUTH.JSON> [-a <ATTRIBUTE> [<ATTRIBUTE> ...]]
[-e] [-n <NUMBER_OF_EVENTS>] [-d <DATE> [<DATE> ...]] [--host <HOST> [<HOST>
...]] [--vid <VID> [<VID> ...]] [--pid <PID> [<PID> ...]] [--prod <PROD> [<PROD> ...]] [-manufact <MANUFACT> [<MANUFACT> ...]] [--serial <SERIAL> [<SERIAL> ...]] [--port
<PORT> [<PORT> ...]] [-f <FILE> [<FILE> ...]] [-q] [--debug]
•

Tạo danh sách các thiết bị USB đáng tin cậy (được ủy quyền).

~$ sudo usbrip events violations <IN_AUTH.JSON> [-a <ATTRIBUTE> [<ATTRIBUTE> ...]]
[-t | -l] [-e] [-n <NUMBER_OF_EVENTS>] [-d <DATE> [<DATE> ...]] [--host <HOST>
[<HOST> ...]] [--vid <VID> [<VID> ...]] [--pid <PID> [<PID> ...]] [--prod <PROD> [<PROD>
...]] [--manufact <MANUFACT> [<MANUFACT> ...]] [--serial <SERIAL> [<SERIAL> ...]] [-port <PORT> [<PORT> ...]] [-c <COLUMN> [<COLUMN> ...]] [-f <FILE> [<FILE> ...]] [-q]
[--debug]
•


Nhận các sự kiện vi phạm USB dựa trên danh sách các thiết bị đáng tin cậy.

b. Lệnh storage

- Xuất danh sách các sự kiện và làm việc với các danh sách này
- Các lệnh con trong storage
~$ sudo usbrip storage list <STORAGE_TYPE> [-q] [--debug]
•

Liệt kê nội dung của bộ nhớ đã chọn. STORAGE_TYPE là "history" hoặc
"iolations".
17


~$ sudo usbrip storage open <STORAGE_TYPE> [-t | -l] [-e] [-n <NUMBER_OF_EVENTS>]
[-d <DATE> [<DATE> ...]] [--host <HOST> [<HOST> ...]] [--vid <VID> [<VID> ...]] [--pid
<PID> [<PID> ...]] [--prod <PROD> [<PROD> ...]] [--manufact <MANUFACT>
[<MANUFACT> ...]] [--serial <SERIAL> [<SERIAL> ...]] [--port <PORT> [<PORT> ...]] [-c
<COLUMN> [<COLUMN> ...]] [-q] [--debug]
•

Mở bộ nhớ đã chọn. Hoạt động tương tự như EVENTS OPEN.

~$ sudo usbrip storage update <STORAGE_TYPE> [IN_AUTH.JSON] [-a <ATTRIBUTE>
[<ATTRIBUTE> ...]] [-e] [-n <NUMBER_OF_EVENTS>] [-d <DATE> [<DATE> ...]] [--host
<HOST> [<HOST> ...]] [--vid <VID> [<VID> ...]] [--pid <PID> [<PID> ...]] [--prod <PROD>
[<PROD> ...]] [--manufact <MANUFACT> [<MANUFACT> ...]] [--serial <SERIAL>
[<SERIAL> ...]] [--port <PORT> [<PORT> ...]] [--lvl <COMPRESSION_LEVEL>] [-q] [-debug]
•


Cập nhật bộ nhớ - thêm sự kiện USB vào bộ nhớ hiện có.
COMPRESSION_LEVEL là một số trong [0..9].

~$ sudo usbrip storage create <STORAGE_TYPE> [IN_AUTH.JSON] [-a <ATTRIBUTE>
[<ATTRIBUTE> ...]] [-e] [-n <NUMBER_OF_EVENTS>] [-d <DATE> [<DATE> ...]] [--host
<HOST> [<HOST> ...]] [--vid <VID> [<VID> ...]] [--pid <PID> [<PID> ...]] [--prod <PROD>
[<PROD> ...]] [--manufact <MANUFACT> [<MANUFACT> ...]] [--serial <SERIAL>
[<SERIAL> ...]] [--port <PORT> [<PORT> ...]] [--lvl <COMPRESSION_LEVEL>] [-q] [-debug]
•

Tạo bộ nhớ - tạo kho lưu trữ 7-Zip và thêm các sự kiện USB vào nó theo vào
các tùy chọn đã chọn.

~$ sudo usbrip storage passwd <STORAGE_TYPE> [--lvl <COMPRESSION_LEVEL>] [-q] [-debug]
•

Thay đổi mật khẩu của bộ nhớ hiện có.

c. Lệnh ids

- Tìm kiếm nhà sản xuất và loại thiết bị theo số nhận dạng của chúng
- Các lệnh con của ids
~$ usbrip ids search [--vid <VID>] [--pid <PID>] [--offline] [-q] [--debug]
•

Nhận thêm thơng tin chi tiết về một thiết bị USB cụ thể bằng <VID> và /
hoặc <PID> từ cơ sở dữ liệu ID USB.

~$ usbrip ids download [-q] [--debug]
•


Cập nhật (tải xuống) cơ sở dữ liệu ID USB.

18


2. Cách xem lịch sử kết nối USB trong Linux
Bạn chỉ cần chạy chương trình như sau:
1 ~$ usbrip events history
Bản thân chương trình sẽ tìm các tệp nhật ký và nếu mọi thứ đều theo thứ tự (các
tệp nhật ký được tìm thấy, chúng có định dạng ngày chính xác và có các sự kiện
xảy ra với thiết bị USB), thì nó sẽ xuất ra:

1[?] How would you like your event history list to be generated?
2
3 1. Terminal stdout
4 2. JSON-file
5
6[>] Please enter the number of your choice (default is 1):
Nó sẽ hỏi chúng ta muốn in dữ liệu ra đầu ra tiêu chuẩn (ra màn hình) hay lưu vào
tệp JSON. Nếu bạn muốn hiển thị dữ liệu trên màn hình, thì chỉ cần nhấn ENTER,
vì tùy chọn đầu tiên được chọn theo mặc định.
Bảng sau sẽ được hiển thị:

19


Hình 7 Cách xem lịch sử kết nối USB trong Linux

Các trường trong nó có nghĩa như sau:

• Connected(ngày và giờ thiết bị được kết nối)
• USer (rõ ràng là người dùng hệ thống được ngụ ý, nhưng tơi có tên máy
chủ ở đây)
• VID (ID nhà cung cấp - mã định danh của nhà sản xuất)
• PID (ID sản phẩm - mã định danh sản phẩm)
• Product (sản phẩm)
• Manufacturer (nhà sản xuất thiết bị)
• Serial Number (số sê-ri)
• Port (cổng USB được kết nối với)
• Disconnected (ngày và giờ khi thiết bị bị ngắt kết nối)

20


3. Cách kiểm tra tệp từ hệ thống khác trong usbrip
Trong usbrip, bạn có thể chỉ định tệp mà bạn muốn lấy dữ liệu để phân tích, đối với điều
này, bạn sử dụng tùy chọn -f , ví dụ: tơi muốn tìm các sự kiện kết nối và ngắt kết nối với
giao diện USB trong tệp usb2.0 .txt :
1

~$ usbrip events history -f usb2.0.txt

Nếu bạn lấy một tệp để phân tích từ một hệ thống khác mà định dạng ngày được hỗ trợ
khơng được định cấu hình, thì trước tiên bạn cần phải chuyển đổi tệp này như được hiển
thị ở trên.
Dưới đây là phần cuối của dữ liệu từ journalctl trên hệ thống:

Hình 8 Tệp từ hệ thống khác trong USBRip

21



4. Cách tìm loại thiết bị USB và nhà sản xuất của nó

Giả sử tơi quan tâm đến thiết bị sau:
┌USB-History-Events───┬──────────┬──────┬──────┬────────────
1│
Connected │ User │ VID │ PID │
Product │
Manufacture
2├─────────────────────┼──────────┼──────┼──────┼──────
3┤
4│ 2019-08-26 11:42:21 │ HackWare │ 152d │ 0578 │
JMS579 │
Với usbrip, tơi có thể tìm kiếm cơ sở dữ liệu bằng VID và PID.
Hãy bắt đầu bằng cách tải cơ sở dữ liệu:
1 sudo usbrip ids download
Tùy chọn --vid tìm kiếm theo ID nhà cung cấp, tùy chọn --pid tìm kiếm ID sản
phẩm. Đồng thời, mỗi khi bắt đầu tìm kiếm, usbrip sẽ cập nhật / tải cơ sở dữ liệu
đã có trong hệ thống - việc này sẽ mất thêm thời gian, vì vậy chúng tơi sẽ chỉ định
cờ --offline để cơ sở dữ liệu cục bộ được sử dụng cho việc tìm kiếm. :
1 usbrip ids search --vid 152d --pid 0578 --offline
Các dòng quan trọng:
1 Vendor: JMicron Technology Corp. / JMicron USA Technology Corp.
2 Product: JMS567 SATA 6Gb/s bridge

22


Hình 9 Loại thiết bị và nhà sản xuất

Các --vid và tùy chọn --pid không cần phải được sử dụng cùng một lúc - bạn có
thể tìm kiếm ở hai trong số họ.
Định cấu hình dữ liệu đầu ra
Sử dụng tùy chọn -q sẽ ngăn chặn hiển thị biểu ngữ, thơng báo thơng tin và chương
trình sẽ khơng hỏi cách hiển thị dữ liệu (bảng điều khiển hoặc JSON). Dữ liệu có
thể được hiển thị khơng phải dưới dạng bảng mà ở dạng danh sách - đối với điều
này, tùy chọn -l . Cuối cùng, với tùy chọn -n , bạn có thể giới hạn đầu ra chỉ ở một
số mục nhập gần đây nhất định. Một ví dụ về việc sử dụng tất cả các tùy chọn này:
1 usbrip events history -ql -n 100 -f usb2.0.txt

23


Hình 10 Lịch sử các thiết bị

5. Chỉ hiển thị thông tin cho các thiết bị di động, cho một thiết bị
USB cụ thể hoặc cho những ngày cụ thể
Usbrip hỗ trợ các loại bộ lọc sau:
a. Chỉ hiển thị các thiết bị có thể tháo rời
Trên thực tế, rất khó để nói chắc chắn 100% thiết bị nào có thể ngắt kết nối. Nhưng
bạn có thể làm điều đó một cách xảo quyệt - nếu thiết bị này đã được ngắt kết nối,
thì nó rất dễ bị ngắt kết nối! Quá rõ ràng. Các thiết bị dễ dàng bị ngắt kết nối như ổ
đĩa di động và ổ đĩa flash được quan tâm nhiều nhất trong các trường hợp truy cập
trái phép.
24


Tùy chọn -e được sử dụng để áp dụng bộ lọc này :
1 ~$ usbrip events history -e -f usb2.0.txt
b. Lọc theo trường bảng, các tùy chọn: --user , --vid , --pid , -product , --man production , --serial , --port

Thí dụ:
1 usbrip events history --vid 152d --pid 0578 -f usb2.0.txt
Đó là, bạn có thể kết hợp một số tùy chọn để lọc dữ liệu. Ngồi ra, bạn có thể sử
dụng từng tùy chọn một. Bản thân tên của các tùy chọn đã nói lên điều gì đó,
nhưng nếu bạn chưa hiểu rõ điều gì thì hãy xem trợ giúp chi tiết về chúng trên
trang: ls/?p=4873 . Sau tùy chọn, bạn có thể chỉ định một số giá trị
được phân tách bằng dấu cách.
c. Sắp xếp theo ngày tháng
Tùy chọn -d được sử dụng cho việc này :
1 usbrip events history -c conn vid pid disconn serial -d '2019-08-24' '2019-08-25' -f usb2.0.txt
Lưu ý rằng phạm vi không được tạo khi chỉ định hai ngày ! Tức là, nếu bạn chỉ
định hai ngày, thì chỉ dữ liệu cho hai ngày này sẽ được lấy!

6. Chỉ hiển thị một số thông tin nhất định
Trong ví dụ trước, tùy chọn -c đã được sử dụng , sau đó các cột được liệt kê nối
tiếp conn vid pid disconn - điều này dẫn đến thực tế là chỉ thông tin trên các cột
này mới được hiển thị.

25