usbrip – это инструмент для форензики с интерфейсом командной строки, позволяющий отслеживать артефакты, оставляемые USB-устройствами. Написан на Python3. Анализирует логи для построения таблиц событий, которые могут содержать следующую информацию: дата и время подключения устройства, пользователь, идентификатор вендора, идентификатор продукта и др. Кроме этого инструмент может следующее: экспортировать собранную информацию как дамп JSON; формировать список авторизованных (доверенных) USB-устройств в виде JSON-а; обнаруживать подозрительные события, связанные с устройствами, которых нет в списке авторизованных устройств; создавать зашифрованные хранилища (7zip-архивы) для автоматического резервного копирования (это возможно при установке с флагом -s); поиск дополнительных сведений о конкретном USB-устройстве по его VID и/или PID.
Ссылка: https://www.linux.org.ru/news/opensource/15133195