Come rilevare quando i file dalla mia USB sono stati copiati su un altro PC?

35

Ho accidentalmente dato la mia USB al mio amico e poi ho capito che aveva alcuni file importanti miei. C'è un modo per sapere se ha ricevuto qualcosa dall'USB?

    
posta Harry Sattar 10.10.2018 - 18:22
fonte

5 risposte

84

Nessun registro è registrato sulla stessa USB attorno agli accessi ai file. Nella migliore delle ipotesi, potresti sapere se i file sono stati modificati osservando i timestamp dei file, che a volte possono capitare solo aprendoli, a seconda del programma che li apre.

Ma non ci sarà modo di determinare, guardando l'USB, se i file sono stati copiati.

    
risposta data 10.10.2018 - 18:34
fonte
52

Non c'è modo di essere sicuri con mezzi strettamente tecnici.

Da un lato, se il tuo amico ha installato un software antivirus, probabilmente scannerizza la tua chiavetta USB non appena viene collegata alla loro macchina; e questo sarebbe completamente indistinguibile dai dati letti come parte dell'operazione di copia.

D'altra parte, se vorrebbero coprire le loro tracce, ci sono molti modi per reimpostare i timestamp e per evitare che cambino in primo luogo.

Quindi ... chiedi loro? Ottenere l'accesso alla loro macchina e controllare le copie dei file (se sono d'accordo)? Di 'loro che i tuoi dati erano sensibili e chiedi gentilmente di cancellarli se li hanno copiati accidentalmente? Queste potrebbero essere le domande per Interpersonale e Legge SE; per quanto riguarda la sicurezza, i tuoi dati sono già stati compromessi.

    
risposta data 11.10.2018 - 03:56
fonte
12

Dipende dal tipo di filesystem presente sul disco. La maggior parte dei filesystem conserva un tempo di accesso che può essere visualizzato con ls -lu , a condizione che il "friend" abbia montato il file system in lettura / scrittura. (Nota: apparentemente i SO Windows non hanno equivalenti a ls -lu , quindi questo non sarà utile se è quello che hai).

Se il "friend" ha montato il filesystem in sola lettura (o con noatime o opzioni simili), o il disco ha un filesystem che non memorizza i tempi di accesso (in particolare FAT e derivati), o ha coperto le sue tracce utilizzando utime() dopo aver letto, non vedrai questa prova.

In alternativa, potresti ottenere un "falso positivo" se qualcosa nel suo sistema legge il file autonomamente (ad esempio per generare sommari o cercare malware), ma non ha visto il contenuto o copiato i file.

Alla fine, le poche informazioni che vengono registrate sul media ti dicono molto poco sull'accesso alle informazioni e, in caso affermativo, su come è stato effettuato l'accesso.

    
risposta data 11.10.2018 - 10:59
fonte
6

Potresti provare dir /T:A e confrontare con dir /T:C

/T TimeField    Specify the time field displayed 
and used for sorting. TimeField may be any of the
following letters.

  C : Creation time.
  A : Last access time.
  W : Last write time.

For instance, when you use the option "/T:C," the 
time listed is when the file was created.

Refer: link

    
risposta data 11.10.2018 - 13:59
fonte
3

Per impostazione predefinita, non ci sarà alcuna registrazione di tale attività.

Quando si accede o si modifica un file, il sistema operativo o l'applicazione possono aggiornare la proprietà "last write" o "last access".

Per Microsoft documentazione :

NTFS also permits last access time updates to be disabled. Last access time is not updated on NTFS volumes by default.

Il tuo amico potrebbe copiare qualsiasi file, e non mi aspetto che la data di "ultimo accesso" cambi.

Inoltre, qualsiasi controllo per tentativi falliti / riusciti di accedere ai file sarebbe registrato nel registro di sicurezza sul suo computer.

Un metodo inconcludente

L'unico altro metodo sta controllando i SID stranieri sugli ACL di file / cartelle. Se si guardano le autorizzazioni su un file (nella scheda Sicurezza), potrebbero apparire SID non risolti.

I SID non risolti vengono visualizzati come stringhe lunghe, ad esempio S-1-5-21-3624371015-3360199248-30038020-3220, anziché nomi leggibili da umani come SYSTEM, Servizio di rete o JohnSmith.

Si noti che i SID stranieri verranno aggiunti solo se assumerà la proprietà di file o autorizzazioni modificate, pertanto l'assenza di tali SID non indica una mancanza di accesso.

    
risposta data 11.10.2018 - 19:41
fonte

Leggi altre domande sui tag