¿es posible detectar un arranque a través de un CD en vivo (por ejemplo, Ubuntu, Debian, Tails ...) que sucedió en el pasado? En caso afirmativo, ¿dónde se puede obtener esta información?
Sospecho que mi PC se ha iniciado a través de un CD en vivo, y se manipularon los archivos, se eliminaron ...
En general, es posible que un CD en vivo arranque una computadora sin dejar rastros. En algunos casos, esta es una característica importante de ellos: los discos de imágenes forenses, por ejemplo, podrían cambiar la evidencia si escribieron algo en las unidades internas (e incluso entonces, los investigadores forenses profesionales suelen copiar usando un bloqueador de escritura de hardware si es posible). ).
Por lo tanto, en este caso, lo mejor que puede hacer es buscar evidencia de arranque desde un CD en vivo, pero buscar evidencia de cambios en el sistema de archivos que parezcan inesperados: archivos modificados en una fecha que no estaba usando la computadora (por ejemplo, fines de semana, para una computadora de oficina), o en un momento en que la computadora debería haber estado apagada. También puedes ejecutar un undeleter y ver si aparece algo que no esperes haber eliminado.