Ho accidentalmente dato la mia USB al mio amico e poi ho capito che aveva alcuni file importanti miei. C'è un modo per sapere se ha ricevuto qualcosa dall'USB?
Ho accidentalmente dato la mia USB al mio amico e poi ho capito che aveva alcuni file importanti miei. C'è un modo per sapere se ha ricevuto qualcosa dall'USB?
Nessun registro è registrato sulla stessa USB attorno agli accessi ai file. Nella migliore delle ipotesi, potresti sapere se i file sono stati modificati osservando i timestamp dei file, che a volte possono capitare solo aprendoli, a seconda del programma che li apre.
Ma non ci sarà modo di determinare, guardando l'USB, se i file sono stati copiati.
Non c'è modo di essere sicuri con mezzi strettamente tecnici.
Da un lato, se il tuo amico ha installato un software antivirus, probabilmente scannerizza la tua chiavetta USB non appena viene collegata alla loro macchina; e questo sarebbe completamente indistinguibile dai dati letti come parte dell'operazione di copia.
D'altra parte, se vorrebbero coprire le loro tracce, ci sono molti modi per reimpostare i timestamp e per evitare che cambino in primo luogo.
Quindi ... chiedi loro? Ottenere l'accesso alla loro macchina e controllare le copie dei file (se sono d'accordo)? Di 'loro che i tuoi dati erano sensibili e chiedi gentilmente di cancellarli se li hanno copiati accidentalmente? Queste potrebbero essere le domande per Interpersonale e Legge SE; per quanto riguarda la sicurezza, i tuoi dati sono già stati compromessi.
Dipende dal tipo di filesystem presente sul disco. La maggior parte dei filesystem conserva un tempo di accesso che può essere visualizzato con ls -lu
, a condizione che il "friend" abbia montato il file system in lettura / scrittura. (Nota: apparentemente i SO Windows non hanno equivalenti a ls -lu
, quindi questo non sarà utile se è quello che hai).
Se il "friend" ha montato il filesystem in sola lettura (o con noatime
o opzioni simili), o il disco ha un filesystem che non memorizza i tempi di accesso (in particolare FAT e derivati), o ha coperto le sue tracce utilizzando utime()
dopo aver letto, non vedrai questa prova.
In alternativa, potresti ottenere un "falso positivo" se qualcosa nel suo sistema legge il file autonomamente (ad esempio per generare sommari o cercare malware), ma non ha visto il contenuto o copiato i file.
Alla fine, le poche informazioni che vengono registrate sul media ti dicono molto poco sull'accesso alle informazioni e, in caso affermativo, su come è stato effettuato l'accesso.
Potresti provare dir /T:A
e confrontare con dir /T:C
/T TimeField Specify the time field displayed
and used for sorting. TimeField may be any of the
following letters.
C : Creation time.
A : Last access time.
W : Last write time.
For instance, when you use the option "/T:C," the
time listed is when the file was created.
Refer: link
Per impostazione predefinita, non ci sarà alcuna registrazione di tale attività.
Quando si accede o si modifica un file, il sistema operativo o l'applicazione possono aggiornare la proprietà "last write" o "last access".
Per Microsoft documentazione :
NTFS also permits last access time updates to be disabled. Last access time is not updated on NTFS volumes by default.
Il tuo amico potrebbe copiare qualsiasi file, e non mi aspetto che la data di "ultimo accesso" cambi.
Inoltre, qualsiasi controllo per tentativi falliti / riusciti di accedere ai file sarebbe registrato nel registro di sicurezza sul suo computer.
Un metodo inconcludente
L'unico altro metodo sta controllando i SID stranieri sugli ACL di file / cartelle. Se si guardano le autorizzazioni su un file (nella scheda Sicurezza), potrebbero apparire SID non risolti.
I SID non risolti vengono visualizzati come stringhe lunghe, ad esempio S-1-5-21-3624371015-3360199248-30038020-3220, anziché nomi leggibili da umani come SYSTEM, Servizio di rete o JohnSmith.
Si noti che i SID stranieri verranno aggiunti solo se assumerà la proprietà di file o autorizzazioni modificate, pertanto l'assenza di tali SID non indica una mancanza di accesso.