La obtención de detalles del dispositivo USB

Es muy a menudo el deseo de los investigadores forenses para determinar si una unidad flash USB en particular se ha montado en un equipo que es objeto de un examen. Este breve artículo no cubrirá los diversos métodos utilizados comprobar el registro de Windows u otros sistemas operativos para una historia de los dispositivos montados, pero en lugar de cómo extraer datos de dispositivos USB para que coincida con los artefactos del Registro de Windows.

usbutils

El paquete incluye usbutils El Correo style=»font-family: lsusb , una herramienta para lista de los dispositivos USB. Se puede utilizar para encontrar el fabricante del dispositivo (no siempre es evidente desde el exterior), el número de serie, el ID de proveedor, y otra información que puede ser utilizada para identificar el dispositivo en un registro de sistema de ordenador o archivo de configuración.


El comando básico, lsusb , enumera todos los dispositivos USB conectados, incluidos los bujes:
x-small;»> $ lsusb Bus 001 Device 001: ID 1d6b: 0002 Linux Foundation 2.0 concentrador raíz Bus 002 Device 001: ID 1d6b: 0002 Linux Foundation concentrador raíz 2.0 Bus 001 Device 002: ID 8087 : 0020 Intel Corp. Rate Matching Hub integrado Bus 002 Device 002: ID 8087:0020 Intel Corp. Rate Matching Hub integrado Bus 002 Device 003: ID 0557:8021 ATEN International Co., Ltd Bus 002 Device 004: ID 0557:2213 ATEN International Co., Ltd CS682 switch de 2 puertos USB 2.0 DVI KVM Bus 001 Device 004: ID 0930:6545 Toshiba Corp. Kingston DataTraveler 102 Flash Drive / HEMA Flash Drive 2 GB / PNY Attache 4GB Palillo Bus 001 Device 005: ID 1058:1111 Western Digital Technologies, Inc.

El dispositivo de Kingston es el dispositivo de interés. Como puede ver, la salida básica nos permite determinar el autobús, el número de dispositivo, y la identificación del proveedor (ID 0930:6545), pero no el número de serie u otros detalles del dispositivo. De la ayuda básica, podemos ver la forma de abordar el dispositivo específico de interés para obtener más información:

Uso: lsusb [opciones] …
dispositivos USB Lista
-v, – verbose
; Incrementa la verbosidad (mostrar descriptores)
-s [[autobús]:] [devnum]
Mostrar sólo los dispositivos con el dispositivo y / o
especificado ; las líneas de autobús (en decimal)
-d el proveedor: [producto] />
números de identificación de producto (en hexadecimal)
-D dispositivo
Selecciona el dispositivo lsusb examinará
-t
Volcado de la jerarquía de dispositivos USB físico como un árbol
-V, – version
Mostrar versión del programa

Por lo tanto, para obtener una conjunto completo de datos de la unidad de memoria flash Kingston, podemos utilizar el Courier New, Courier, monospace;»>-D lsusb de salida. Debido a que estamos AFRONTAR un dispositivo, necesitamos privilegios de root, así su para root o usando sudo :

# lsusb-D / dev/bus/usb/001/004 />
descriptor de dispositivo:

blength 18 bDescriptorType 1
bcdUSB 2,00
bDeviceClass 0 (definido a nivel de interfaz)
bDeviceSubClass 0

bDeviceProtocol 0 bMaxPacketSize0 64
idVendor 0x0930 Toshiba Corp.
idProduct 0x6545 Kingston DataTraveler 102 Flash Drive / HEMA Flash Drive 2 GB / PNY Attache 4GB palillo
bcdDevice 1,00
iManufacturer 1 Kingston
iProduct ; 2 DT 101 G2
iSerial 3 001CC0EC346EEC11 # # # # # # # # (redactados) bNumConfigurations />
descriptor de configuración:
blength ; 9
bDescriptorType 2

wTotalLength 32 bNumInterfaces ; 1

bConfigurationValue 1 IConfiguration 0
bmAttributes 0x80 />
MaxPower 200mA
Interface Descriptor:

blength 9 bDescriptorType 4

bInterfaceNumber 0 bAlternateSetting 0
bNumEndpoints 2
bInterfaceClass 8
almacenamiento masivo ; bInterfaceSubClass 6 SCSI
bInterfaceProtocol 80-Sólo granel
IInterface 0
Punto Descriptor:
blength 7
bDescriptorType 5
bEndpointAddress 0x81 EP 1 EN
; bmAttributes 2
Tipo de transferencia a granel
Tipo Uso /> Tipo Synch Ninguno
wMaxPacketSize 0x0200 1x 512 bytes
bInterval 0
Punto Descriptor:
blength ; 7

bDescriptorType 5 bEndpointAddress 0x02 EP 2 OUT
bmAttributes 2
Tipo de transferencia ;
Granel Tipo Synch Uso />
wMaxPacketSize 0x0200 1x 512 bytes
; bInterval 0
Calificador del equipo (para otra velocidad del dispositivo):
blength ; 10

bDescriptorType 6 bcdUSB 2,00
bDeviceClass ; 0 (definido a nivel de interfaz)

bDeviceSubClass 0 bDeviceProtocol 0

bMaxPacketSize0 64 bNumConfigurations 1
Estado dispositivo: 0x0000
(Bus Powered)

Como puedes ver, tenemos una agradable, informe digno de visualización de los detalles del dispositivo, incluyendo el número de serie. La salida se puede redirigir a un archivo con los operadores habituales de redirección, o envía a la terminal y un archivo al mismo tiempo con el camiseta comando:

Courier New, Courier, monospace; font-size: x-small;»> # lsusb-D / dev / bus/usb/001/004 | tee device_details.txt

Por último, la opción de detalle se puede utilizar para obtener los mismos detalles del dispositivo como la opción-D y sin la necesidad de ejercer los privilegios de root o la dirección del dispositivo, pero hay una trampa: se obtiene una salida detallada de todos los dispositivos USB. Elige tu veneno.

Deja un comentario

Tu dirección de correo electrónico no será publicada.