La copia sta solo leggendo il contenuto di un file e scrivendolo da qualche altra parte. Se un utente può leggere un file, può copiarne il contenuto in un punto in cui ha accesso in scrittura.
Su Windows, ci sono copia degli hook che potresti usare per registrare o bloccare l'operazione, ma quelli si applicano solo alla shell (es. Explorer). L'utilizzo del prompt dei comandi ignorerebbe tali hook.
Se si desidera registrare l'accesso ai file, è necessario configurare controllo . In sostanza, è necessario modificare il SACL sui file in questione per registrare le letture (utilizzare la scheda Controllo della finestra di dialogo di sicurezza avanzata) e anche modificare la politica di controllo del sistema per registrare l'accesso agli oggetti. Per registrare la creazione del nuovo file, è necessario controllare Crea file / scrivere dati nella directory che riceverà la copia.
Sarà ancora molto difficile correlare un'operazione di lettura con la scrittura di una copia se l'utente è persino un po 'furbo. Potevano leggere il contenuto in memoria e aspettare un po 'prima di scriverlo; potevano comprimere o cifrare i dati per fare in modo che la copia non fosse la stessa su disco; potevano inviare il file su Internet per evitare di scrivere qualsiasi nuovo file. Non puoi davvero distinguere una lettura pura dalla prima parte di una copia.