Esiste qualche metodo o strumento che consenta di monitorare l'attività su USB? Con attività intendo se puoi per caso vedere se i file come ( pdf, jpeg, doc, etc, ...) sono stati copiati o aperti sul dispositivo USB.
Ci sono tre timestamp normalmente registrati:
mtime - aggiornato quando il contenuto del file cambia. Questo è il
tempo di file "predefinito" nella maggior parte dei casi. ctime - aggiornato quando il file
o i suoi metadati (proprietario, permessi) cambiano atime - aggiornato quando
il file viene letto Per il tuo bisogno avrai bisogno di atime , quindi puoi aprire il tuo dispositivo USB nel terminale:
user@ubuntu:/media/USB-2477$
ed esegui: ls -l --time=atime myfile.pdf
Questo ti tornerà quando è stata l'ultima volta che hai effettuato l'accesso a quel file. Per copiare il file non sono sicuro che verrà registrato.
O usa stat ha una funzione simile:
stat --printf="Change %z\nAccess %x\nModify %y\n" myfile.pdf
Restituirà:
Change 2017-09-27 21:06:23.000000000
Access 2017-09-27 22:04:00.000000000
Modify 2017-08-11 21:36:40.000000000
Leggi altre domande sui tag forensics