USBTracker是一种快速和脏的编码事件响应和取证Python脚本,用于从Windows操作系统(Vista及更高版本)转储USB相关信息和工件。
注意: USBTracker读取一些受保护的日志文件,需要以管理员权限运行。运行USBTracker最简单的方法是启动CMD或Powershell控制台,右键单击“以管理员身份运行”,然后在其中执行脚本/ exe。
如果您没有在要使用USBTracker进行分析的计算机上安装python发行版,您还可以从存储库下载带有脚本的PyInstaller的* .exe“已编译”版本。
它使用一个名为Python-evtx的Python模块 。因此,在使用USBTracker之前不要忘记安装它。
用法:用法:usbtracker.py [-h] [-u | -uu] [-nh] [-df] [-x]可选参数: -h, – help显示此帮助消息并退出
-u, – usbstor从USBSTOR注册表中转储USB工件
-uu, – usbstor-verbose 从USBSTOR注册表转储USB详细工件。
-nh, – no-hardwareid在详细说明USBSTOR期间隐藏HardwareID值 工件注册表转储。
-df, – drivers-frameworks 从Windows转储USB工件和事件 DriverFrameworks用户模式日志。
-x, – raw-xml-event显示事件结果为原始xml。
下载地址:
https://github.com/sysinsider/usbtracker
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容