Domanda:
Come rilevare quando i file dalla mia USB sono stati copiati su un altro PC?
Harry Sattar
2018-10-10 21:22:07 UTC
view on stackexchange narkive permalink

Ho accidentalmente dato la mia USB a un mio amico e poi mi sono reso conto che aveva alcuni miei file importanti. C'è un modo per sapere se ha ricevuto qualcosa dall'USB?

Se è un ** amico ** puoi diventare analogico e chiederglielo?
@HashHazard di sicuro negherà
@HarrySattar a meno che non lo neghi.Se dice "sì", allora lo sai.
@HarrySattar Ricorda solo che è abbastanza tossico presumere che i tuoi amici ti mentano in faccia.Questo è su di te.Se il tuo amico non ha fatto ** assolutamente niente di sbagliato **, stai già presumendo che abbia copiato i tuoi file e mentirà al riguardo, il che è, in base alle informazioni attuali, una situazione che hai ** completamente inventato **.
@Nelson In realtà in quei file avevo il mio progetto finale.Che stava lottando per creare.E lo so che approfitterà di quell'errore. Devo chiederglielo?
@Kyslik e se miri a pubblicare quel progetto come prodotto della tua startup.Ho quel progetto ovunque potrei salvare.
Nota rapida nel caso in cui questo venga inviato a Interpersonal.SE dal commento di @tudor's.Non accettiamo "Cosa dovrei fare?"domande laggiù, quindi "Devo chiederglielo?"verrebbe probabilmente chiuso.Detto questo, "Come posso chiedere a un amico se ha copiato alcune informazioni sensibili quando gli ho prestato la mia USB?"si adatterebbe perfettamente.
Alcune applicazioni memorizzano abitualmente il nome dell'utente, ecc. Nelle proprietà del documento.Se i tuoi file lo includono, il tuo amico potrebbe non sapere come cercare.Se copia il tuo lavoro, apporta alcune modifiche al contenuto e afferma che i file sono opera sua, sarai comunque in grado di vedere le proprietà quando guardi.Questo approccio si basa su molti presupposti ...
Cinque risposte:
schroeder
2018-10-10 21:34:27 UTC
view on stackexchange narkive permalink

Nessun registro viene registrato sull'USB stesso riguardo agli accessi ai file. Nella migliore delle ipotesi, potresti sapere se i file sono stati modificati osservando i timestamp dei file, cosa che a volte può accadere semplicemente aprendoli, a seconda del programma che li apre.

Ma non ci sarà modo di determinare, guardando l'USB, se i file sono stati copiati.

Non ci sono timestamp.Posso avere la cronologia di quali cartelle sono state aperte e quando?
Ci saranno timestamp nei metadati dei file (fare clic con il tasto destro e scegliere "Proprietà" o scegliere la vista "Dettagli" in Esplora file).Le altre attività sui file di cui chiedi non vengono registrate nei file system di Windows.
Ciò presuppone che il tuo amico non abbia reimpostato il timestamp di accesso in seguito, il che è banale se ti interessa.
@DavidFoerster da qui il "migliore".E anche io ho dovuto cercarlo da quando l'hai menzionato, quindi non sono sicuro che "banale" possa equivalere a "probabile".
Il mio commento è stato meno una critica alla tua risposta e più un chiarimento per OP e altri lettori.Sorriso La banalità è spesso negli occhi di chi guarda.Il mio professore di matematica chiamava spesso le parti omesse di una soluzione "banali", nel senso che "potresti aver bisogno di cercarle ma dovresti avere pochi problemi a capire questa parte".
@DavidFoerster supponendo, cosa più importante, che l'amico non avesse la lungimiranza di montare l'unità in sola lettura.
Testando una chiavetta USB qui su Windows 7, posso vedere una * data *, ma non un'ora per "accesso" nelle proprietà del file (a differenza di un disco locale o di una condivisione di rete, dove anche "accesso" ha un tempo. Ma le anteprime possonoimpostare comunque l'ora di accesso.
Si noti inoltre che ci sono impostazioni di registro in Windows (e opzioni che possono essere impostate in Linux) che disabilitano l'aggiornamento dei timestamp di accesso, quindi non ci si può assolutamente fidare.
Suggerirei di aggiungere a questa risposta: * non tentare di visualizzare i timestamp di accesso utilizzando Explorer *.La semplice apertura della cartella contenente i file con Explorer può causare la lettura dei file per produrre un'immagine di anteprima, perdendo così le informazioni sul tempo di accesso.Usa un prompt dei comandi e `dir / ta` per ottenere le informazioni.Ma come sottolineato da TobySpeight di seguito, i filesystem FAT (che è quasi certamente ciò che è sul dispositivo) non tengono comunque traccia dei tempi di aggiornamento, quindi le informazioni quasi certamente non esistono.
@Jules ma questo significa anche che l'amico avrebbe potuto aprire il dispositivo in Explorer per mettere qualcosa lì, quindi i timestamp di accesso modificati non dimostrano che qualcosa è stato copiato.
IMil
2018-10-11 06:56:39 UTC
view on stackexchange narkive permalink

Non c'è modo di essere sicuri con mezzi strettamente tecnici.

Da un lato, se il tuo amico ha installato un software antivirus, probabilmente scansionerà la tua chiavetta USB non appena è stata collegata macchina; e questo sarebbe completamente indistinguibile dai dati letti come parte dell'operazione di copia.

D'altra parte, se vogliono coprire le loro tracce, ci sono molti modi per reimpostare i timestamp e per impedire che cambiare in primo luogo.

Quindi ... chiederglielo? Ottenere l'accesso alla loro macchina e controllare le copie dei file (se sono d'accordo)? Dite loro che i vostri dati erano sensibili e chiedete gentilmente di cancellarli se li hanno copiati accidentalmente? Queste potrebbero essere le domande per Interpersonal e Law SE; dal punto di vista della sicurezza, i tuoi dati sono già compromessi.

Toby Speight
2018-10-11 13:59:57 UTC
view on stackexchange narkive permalink

Dipende dal tipo di filesystem sul disco. La maggior parte dei filesystem conserva un tempo di accesso che può essere visualizzato con ls -lu , a condizione che l '"amico" abbia montato il filesystem in lettura / scrittura. (Nota: apparentemente i sistemi operativi Windows non hanno equivalenti a ls -lu , quindi questo non sarà utile se è quello che hai).

Se "l'amico" ha montato il filesystem di sola lettura (o con noatime o opzioni simili), o il disco ha un filesystem che non memorizza i tempi di accesso (in particolare FAT e derivati), oppure ha coperto le sue tracce usando utime () dopo aver letto, non vedrai questa prova.

In alternativa, potresti ottenere un "falso positivo" se qualcosa sul suo sistema legge il file in modo autonomo (ad esempio per generare riassunti, o alla ricerca di malware), ma non ha visto il contenuto né ha copiato i file.

Alla fine, le poche informazioni registrate sul supporto ti dicono molto poco sull'accesso alle informazioni, e in tal caso, come è stato effettuato l'accesso.

Se sai qual è l'equivalente Windows di `ls -lu`, modificalo in. Poiché non so nulla di Windows, non sono qualificato per farlo.Non sono nemmeno sicuro che Windows possa effettivamente montare file system diversi da quelli nativi (e forse ISO 9660? Ma nemmeno questo registra i tempi di accesso, per ovvi motivi).
L'equivalente Windows di `ls -lu` è` dir / ta`, sebbene sia in qualche modo meno probabile che sia utile a causa della preponderanza di vari software Windows (incluso Explorer) per aprire automaticamente e scansionare qualsiasi file di tipo che riconosce inper mostrare le anteprime, insieme al fatto che molti utenti installano software "tweak" che spesso consiglia di disabilitare gli aggiornamenti del tempo di accesso per motivi di prestazioni.Inoltre, poiché Windows per impostazione predefinita formatta i dispositivi di archiviazione rimovibili come FAT, è improbabile che le informazioni siano presenti in ogni caso, a meno che OP non abbia formattato intenzionalmente il dispositivo come NTFS.
TBH, non mi era davvero venuto in mente che potesse essere in un ambiente Windows quando ho letto la domanda.Se lo avesse suggerito, non mi sarei preoccupato di rispondere.
Inoltre, probabilmente non sono l'unico che in fstab ha impostato noatime per tutti i media (per l'eliminazione della scrittura ripetuta di timestamp, quando non uso proram, che si basano su di essi - mutt e simili)
Chris Paul
2018-10-11 16:59:01 UTC
view on stackexchange narkive permalink

Potresti provare dir / T: A e confrontare con dir / T: C 

  / T TimeField Specifica il campo dell'ora visualizzato e utilizzato per l'ordinamento. TimeField può essere una delle seguenti lettere. C: Tempo di creazione. A: Ora dell'ultimo accesso. W: Ora dell'ultima scrittura. Ad esempio, quando utilizzi l'opzione "/ T: C", l'ora indicata è quella in cui è stato creato il file.

Fai riferimento: https: / /www.computerhope.com/dirhlp.htm

DoubleD
2018-10-11 22:41:57 UTC
view on stackexchange narkive permalink

Per impostazione predefinita, non ci sarà alcuna registrazione di tale attività.

Quando si accede a un file o si modifica, il sistema operativo o l'applicazione possono aggiornare la sua "ultima scrittura" o proprietà "ultimo accesso".

Secondo la documentazione di Microsoft:

NTFS consente anche di disabilitare gli aggiornamenti dell'ora dell'ultimo accesso. L'ora dell'ultimo accesso non viene aggiornata sui volumi NTFS per impostazione predefinita.

Il tuo amico potrebbe copiare qualsiasi file e non mi aspetto che la data di "ultimo accesso" cambi.

Inoltre, qualsiasi controllo per tentativi di accesso ai file non riusciti / riusciti verrà registrato nel registro di sicurezza sul suo computer.

Un metodo inconcludente

L'unico altro metodo è verificare la presenza di SID esterni su ACL di file / cartelle. Se si esaminano le autorizzazioni su un file (nella scheda Protezione), potrebbero essere visualizzati SID non risolti.

I SID non risolti vengono visualizzati come stringhe lunghe, come S-1-5-21-3624371015-3360199248-30038020 -3220, anziché nomi leggibili dall'uomo come SYSTEM, Network Service o JohnSmith.

Nota che i SID esterni verranno aggiunti solo se ha assunto la proprietà dei file o ha modificato le autorizzazioni, quindi l'assenza di tali SID lo fa non indica una mancanza di accesso.

Questa è la risposta corretta.Anche se la pendrive utilizza NTFS (improbabile), i tempi dell'ultimo accesso non vengono aggiornati di default a partire da Vista.
@kinokijuf Esatto, e anche se * fossero * aggiornati, non significa che i file siano stati copiati, significa solo che sono stati aperti, ad esempio, per la visualizzazione.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...