è possibile rilevare un boot-up tramite live CD (ad esempio Ubuntu, Debian, Tails ...) che è accaduto in passato? Se sì, dove può essere ottenuta questa informazione?
Sospetto che il mio PC sia stato avviato tramite un live CD e che i file siano stati manipolati, cancellati ...
In generale, è possibile che un CD live avvii un computer senza lasciare tracce. In alcuni casi, questa è una caratteristica importante di questi - i dischi di imaging forense, ad esempio, potrebbero cambiare le prove se hanno scritto qualcosa sui dischi interni (e anche allora, gli investigatori legali professionali di solito copiano usando un blocker di scrittura hardware se possibile ).
Pertanto, in questo caso, la soluzione migliore non è quella di cercare prove di avvio da un CD live, ma di cercare prove di modifiche al filesystem che sembrano inaspettate - file modificati in una data che non stavi usando il computer (ad esempio i fine settimana, per un PC dell'ufficio) o in un momento in cui il computer avrebbe dovuto essere spento. Puoi anche eseguire un undeleter e vedere se qualcosa che non ti aspetti di essere cancellato appare.