Se si utilizza qualsiasi tipo di livello di pre-avvio / OS o di crittografia per-mount, di solito mantiene tutto protetto accessibile fino allo spegnimento. Se si effettua il logout, ma il sistema necessita ancora dell'accesso a un'applicazione che altrimenti sarebbe crittografata, significa che è comunque possibile accedere ai dati e che è decodificato o che la chiave di decrittografia è ancora in memoria. La gestione delle sessioni è solitamente disconnessa dalla crittografia dei file.
Questo significa che se sul tuo sistema era presente malware che non era legato alla sessione utente, continuerebbe a essere eseguito anche quando sei disconnesso.
Dal tuo OP sembra che tu stia parlando di attacchi di accesso fisico. Se è possibile connettere il sistema bloccato a una rete o utilizzare un dispositivo USB che si sta mascherando come un controller ethernet, potrebbe essere possibile falsificare la rete reale e attuare attacchi. Un buon esempio è PoisonTap .
PoisonTap produces a cascading effect by exploiting the existing trust in various mechanisms of a machine and network, including USB/Thunderbolt, DHCP, DNS, and HTTP, to produce a snowball effect of information exfiltration, network access and installation of semi-permanent backdoors.
Esistono altre implementazioni simili, come quelle di Rob Fuller e BadUSB . Puoi utilizzare un'app come USBGuard per impedirne il funzionamento.
In via ipotetica, un utente malintenzionato potrebbe anche essere in grado di installare un keylogger di base che potresti non notare e quindi ottenere la password per la sessione in questo modo con accesso fisico. Ci sono stati anche attacchi di dumping di memoria fisica dal vivo in passato e nuovi potrebbero essere scoperti.
Di conseguenza, se ci si trova in un ambiente non affidabile in termini di accesso fisico, è necessario eseguire un arresto completo per impedire qualsiasi accesso ai dati crittografati. Vedi anche questo post sull'argomento.