63 lines
1.7 KiB
Markdown
63 lines
1.7 KiB
Markdown
# usbSearch
|
|
|
|
`usbSearch` — bash-скрипт для **поиска и анализа событий подключения USB-устройств** в системе Linux.
|
|
Работает **универсально**: автоматически определяет, используется ли `systemd (journalctl)` или классические лог-файлы `/var/log`.
|
|
|
|
Проект полезен для:
|
|
|
|
* forensic / incident response
|
|
* аудита подключаемых USB-устройств
|
|
* серверов и рабочих станций
|
|
* систем без GUI
|
|
|
|
---
|
|
|
|
## Использование
|
|
|
|
### Дать права на исполнение
|
|
|
|
```bash
|
|
sudo chmod +x usbSearch.sh
|
|
```
|
|
|
|
### Запуск от root (рекомендуется)
|
|
|
|
```bash
|
|
sudo ./usbSearch.sh
|
|
```
|
|
|
|
---
|
|
|
|
## Как это работает
|
|
|
|
1. Скрипт проверяет:
|
|
|
|
* доступен ли `journalctl`
|
|
* есть ли доступ к журналу systemd
|
|
2. Если **systemd доступен**:
|
|
|
|
* используется `journalctl -k`
|
|
3. Если **systemd недоступен**:
|
|
|
|
* анализируются файлы `/var/log/kern.log*`
|
|
4. Из логов извлекаются события:
|
|
|
|
* `New USB device found`
|
|
* `Product`
|
|
* `Manufacturer`
|
|
* `SerialNumber`
|
|
* `USB Mass Storage`
|
|
|
|
---
|
|
|
|
## Пример вывода
|
|
|
|
```
|
|
-----------------------------------------------------------
|
|
Дата: Sep 12 14:33:21 | VID:0781 PID:5567
|
|
Дата: Sep 12 14:33:21 | Manufacturer: SanDisk
|
|
Дата: Sep 12 14:33:21 | Product: Cruzer Blade
|
|
Дата: Sep 12 14:33:21 | SerialNumber: 4C530001230915117293
|
|
Дата: Sep 12 14:33:22 | USB Mass Storage device
|
|
```
|