USBTracker – 在Windows操作系统中跟踪USB设备事件和工件的工具

USBTracker是一种快速和脏的编码事件响应和取证Python脚本，用于从Windows操作系统（Vista及更高版本）转储USB相关信息和工件。
注意： USBTracker读取一些受保护的日志文件，需要以管理员权限运行。运行USBTracker最简单的方法是启动CMD或Powershell控制台，右键单击“以管理员身份运行”，然后在其中执行脚本/ exe。
如果您没有在要使用USBTracker进行分析的计算机上安装python发行版，您还可以从存储库下载带有脚本的PyInstaller的* .exe“已编译”版本。
它使用一个名为Python-evtx的Python模块  。因此，在使用USBTracker之前不要忘记安装它。
用法：用法：usbtracker.py [-h] [-u | -uu] [-nh] [-df] [-x]可选参数：  -h， -  help显示此帮助消息并退出  
-u， -  usbstor从USBSTOR注册表中转储USB工件  
-uu， -  usbstor-verbose    从USBSTOR注册表转储USB详细工件。  
-nh， -  no-hardwareid在详细说明USBSTOR期间隐藏HardwareID值   工件注册表转储。  
-df， -  drivers-frameworks   从Windows转储USB工件和事件   DriverFrameworks用户模式日志。  
-x， -  raw-xml-event显示事件结果为原始xml。

下载地址：

https://github.com/sysinsider/usbtracker