¿Cómo detectar cuándo se copiaron los archivos de mi USB a otra PC?

35

Accidentalmente le di mi USB a mi amigo y luego me di cuenta de que tenía algunos archivos importantes míos. ¿Hay alguna manera de saber si obtuvo algo del USB?

    
pregunta Harry Sattar 10.10.2018 - 18:22
fuente

5 respuestas

84

No se graban registros en el propio USB alrededor de los accesos a archivos. En el mejor de los casos, es posible que sepa si los archivos se modificaron mirando las marcas de tiempo de los archivos, lo que a veces puede ocurrir simplemente abriéndolos, según el programa que los abra.

Pero no habrá manera de determinar, mirando el USB, si los archivos fueron copiados.

    
respondido por el schroeder 10.10.2018 - 18:34
fuente
52

No hay forma de estar seguro por medios estrictamente técnicos.

Por un lado, si su amigo tiene instalado un software antivirus, probablemente escaneará su memoria USB tan pronto como se conecte a su máquina; y esto sería completamente indistinguible de los datos que se leen como parte de la operación de copia.

Por otra parte, si les gustaría cubrir sus pistas, hay muchas formas de restablecer las marcas de tiempo y de evitar su cambio en primer lugar.

Entonces ... pregúntales? ¿Obtener acceso a su máquina y verificar las copias de sus archivos (si están de acuerdo)? Dígales que sus datos eran confidenciales y pídales amablemente que los borren si los copiaron accidentalmente. Estas podrían ser las preguntas para Interpersonal y Law SE; En cuanto a la seguridad, sus datos ya están comprometidos.

    
respondido por el IMil 11.10.2018 - 03:56
fuente
12

Depende de qué tipo de sistema de archivos está en el disco. La mayoría de los sistemas de archivos conservan un tiempo de acceso que puede verse con ls -lu , siempre que el "amigo" haya montado la lectura / escritura del sistema de archivos. (Nota: al parecer, los sistemas operativos Windows no tienen un equivalente a ls -lu , por lo que esto no será útil si eso es lo que tienes).

Si el "amigo" montó el sistema de archivos de solo lectura (o con noatime u opciones similares), o si el disco tiene un sistema de archivos que no almacena los tiempos de acceso (especialmente FAT y derivados), o si cubrió sus pistas Al usar utime() después de leer, no verá esta evidencia.

Como alternativa, puede obtener un "falso positivo" si algo en su sistema lee el archivo de forma autónoma (por ejemplo, para generar resúmenes o buscar malware), pero no vio el contenido ni copió los archivos.

Al final, la poca información que se registra en los medios de comunicación le dice muy poco sobre si se accedió a la información y, de ser así, cómo se accedió.

    
respondido por el Toby Speight 11.10.2018 - 10:59
fuente
6

Puedes probar dir /T:A y comparar con dir /T:C

/T TimeField    Specify the time field displayed 
and used for sorting. TimeField may be any of the
following letters.

  C : Creation time.
  A : Last access time.
  W : Last write time.

For instance, when you use the option "/T:C," the 
time listed is when the file was created.

Consulte: enlace

    
respondido por el Chris Paul 11.10.2018 - 13:59
fuente
3

De forma predeterminada, no habrá registro de dicha actividad.

Cuando se accede o cambia un archivo, el SO o la aplicación pueden actualizar su propiedad de "última escritura" o "último acceso".

Según la documentación de Microsoft :

  

NTFS también permite deshabilitar las actualizaciones de última hora de acceso. Ultimo acceso   el tiempo no se actualiza en los volúmenes NTFS de forma predeterminada.

Su amigo podría copiar cualquier archivo (s), y no esperaría que la fecha de "último acceso" cambiara.

Además, cualquier auditoría de intentos fallidos / exitosos para acceder a archivos se registrará en el registro de seguridad de su computadora.

Un método inconcluso

El único otro método es verificar si hay SID extraños en las ACL de archivos / carpetas. Si observa los permisos de un archivo (en la pestaña Seguridad), pueden aparecer SID sin resolver.

Los SID no resueltos aparecen como cadenas largas, como S-1-5-21-3624371015-3360199248-30038020-3220, en lugar de nombres legibles como SISTEMA, Servicio de red o JohnSmith.

Tenga en cuenta que los SID foráneos solo se agregarán si él es el propietario de los archivos o los permisos modificados, por lo que la ausencia de dichos SID no indica una falta de acceso.

    
respondido por el DoubleD 11.10.2018 - 19:41
fuente

Lea otras preguntas en las etiquetas