Come faccio a sapere se qualcuno che ha avuto accesso al mio portatile, ha avuto accesso al disco rigido manualmente (estraendolo dal laptop e copiandolo o visualizzazione dei dati)?
So che esiste il criterio di controllo di Windows per i log-in effettivi, è affidabile sapere se qualcuno ha effettuato l'accesso al disco rigido senza rimuovendolo?
Esistono alcuni modi per rilevare la manomissione, vorresti applicare un adesivo antimanomissione sul case del computer o sulla porta dell'unità. Non è infallibile, ma renderà la manomissione senza essere rilevato molto più difficile.
È più semplice applicare l'adesivo sulla custodia. Anche se si consiglia di applicare l'adesivo sulle porte del cavo, sul lato della scheda madre e sul lato dell'unità, se è possibile trovare un adesivo che è abbastanza piccolo per esso e si attacca alla superficie dei connettori.
Il modo migliore per impedire la copia non autorizzata, però, è crittografare l'unità. Saranno comunque in grado di copiare i dati, ma senza la chiave di decrittografia, i dati copiati sono inutili.
Se qualcuno avesse accesso fisico all'unità stessa non ci sarebbe modo di sapere se è stata fatta una copia un po 'alla volta. Questo è il modo in cui vorrei iniziare qualsiasi indagine forense. Fare una semplice immagine di un disco può essere fatto tramite strumenti di linux come:
dd if=/dev/sda of=somefile.image
Creare una copia del genere significherebbe che ho accesso totale all'unità ogni volta che voglio esattamente nello stato in cui mi hai dato. Potrei farti tornare indietro e usare l'immagine da quel punto in avanti. Non penso che ci sia un modo per dire se questo è stato fatto perché è un po 'una copia di sola lettura.
Come per le attuali politiche di Windows, ci sono funzionalità per la registrazione e la verifica, ma non sono molto costose per impostazione predefinita. Dipende da quali criteri di controllo sono abilitati e da come sono configurati. Ma ancora, se ho accesso fisico, perché correre il rischio. Vorrei solo fare un'immagine del disco e fare quello che voglio con l'immagine più tardi.
Temo di non sapere un modo "affidabile" per vedere se qualcosa è stato toccato. Puoi provare che qualcosa è stato toccato. Non puoi provare che non lo era.
Tuttavia:
Lo includerò per completezza, ma dubito strongmente che tu sia in grado di approfittarne. Ma in un'occasione qualcuno aveva uno script in esecuzione su Windows che semplicemente caricava alcuni dati nella sua posta elettronica in determinati momenti. Era una prospettiva molto interessante.
I moderni dischi rigidi hanno, come si chiama, S.M.A.R.T. monitoraggio. E con un po 'di aiuto da smartmontools o strumenti simili (non ho usato smartmontools in pochi anni quindi non so come si è sviluppato, utilizzare il proprio giudizio lì) siamo stati in grado di ottenere informazioni sul disco che ha effettivamente dimostrato che era stato manomesso.
Tra i dati che abbiamo visto nell'output c'erano (id, name, desc):
4 Start_Stop_Count Spindle start/stop cycles
9 Power_On_Hours Elapsed hours in power-on state
12 Power_Cycle_Count # of full HDD power on/off cycles
Poiché avevano registrato queste informazioni e l'unità era abbastanza grande da consentire a un'immagine di durare un po '. Siamo stati in grado di esaminare il numero di cicli, i cicli del mandrino e le variazioni di ore per dire entro ragionevole dubbio che se la registrazione è vera e precisa, l'unità è stata letta fuori dalla scatola. Forse per fare un'immagine.
Ora, ciò richiedeva che avessi già preso nota dei dati SMART in anticipo. È anche altamente speculativo e si basa su una registrazione accurata delle informazioni. Ma esiste. Può essere usato. Forse nel tuo caso, per riferimento futuro.
how do you find the last access date stamp if a write blocker wasn't attached?
Vai a Esplora file o Esplora risorse e fai clic con il pulsante destro su immagine. Fai clic su Altro
Faiclicpiù
Seleziona la casella come mostrato qui e poi Ok
I risultati ora sono visualizzati
Deve essere eseguito come amministratore, se XP ha questa utility.
fsutil usn readjournal c: