Se qualcuno avesse accesso fisico all'unità stessa non ci sarebbe modo di sapere se è stata fatta una copia un po 'alla volta. Questo è il modo in cui vorrei iniziare qualsiasi indagine forense. Fare una semplice immagine di un disco può essere fatto tramite strumenti di linux come:
dd if=/dev/sda of=somefile.image
Creare una copia del genere significherebbe che ho accesso totale all'unità ogni volta che voglio esattamente nello stato in cui mi hai dato. Potrei farti tornare indietro e usare l'immagine da quel punto in avanti. Non penso che ci sia un modo per dire se questo è stato fatto perché è un po 'una copia di sola lettura.
Come per le attuali politiche di Windows, ci sono funzionalità per la registrazione e la verifica, ma non sono molto costose per impostazione predefinita. Dipende da quali criteri di controllo sono abilitati e da come sono configurati. Ma ancora, se ho accesso fisico, perché correre il rischio. Vorrei solo fare un'immagine del disco e fare quello che voglio con l'immagine più tardi.
Temo di non sapere un modo "affidabile" per vedere se qualcosa è stato toccato. Puoi provare che qualcosa è stato toccato. Non puoi provare che non lo era.
Tuttavia:
Lo includerò per completezza, ma dubito strongmente che tu sia in grado di approfittarne. Ma in un'occasione qualcuno aveva uno script in esecuzione su Windows che semplicemente caricava alcuni dati nella sua posta elettronica in determinati momenti. Era una prospettiva molto interessante.
I moderni dischi rigidi hanno, come si chiama, S.M.A.R.T. monitoraggio. E con un po 'di aiuto da smartmontools o strumenti simili (non ho usato smartmontools in pochi anni quindi non so come si è sviluppato, utilizzare il proprio giudizio lì) siamo stati in grado di ottenere informazioni sul disco che ha effettivamente dimostrato che era stato manomesso.
Tra i dati che abbiamo visto nell'output c'erano (id, name, desc):
4 Start_Stop_Count Spindle start/stop cycles
9 Power_On_Hours Elapsed hours in power-on state
12 Power_Cycle_Count # of full HDD power on/off cycles
Poiché avevano registrato queste informazioni e l'unità era abbastanza grande da consentire a un'immagine di durare un po '. Siamo stati in grado di esaminare il numero di cicli, i cicli del mandrino e le variazioni di ore per dire entro ragionevole dubbio che se la registrazione è vera e precisa, l'unità è stata letta fuori dalla scatola. Forse per fare un'immagine.
Ora, ciò richiedeva che avessi già preso nota dei dati SMART in anticipo. È anche altamente speculativo e si basa su una registrazione accurata delle informazioni. Ma esiste. Può essere usato. Forse nel tuo caso, per riferimento futuro.