¿Se ha accedido a la unidad de disco duro o ha sido pirateada? [cerrado]

Hay algunas formas de detectar manipulaciones, desearías aplicar un etiqueta adhesiva contra manipulación indebida en la caja de la computadora o en el puerto de la unidad. No es a prueba de tontos, pero hará que la manipulación no se detecte mucho más difícil.

Es más fácil aplicar la etiqueta adhesiva en el estuche. Aunque es posible que también desee aplicar la etiqueta adhesiva en los puertos de los cables, en el lado de la placa base y en el lado de la unidad, si puede encontrar una etiqueta que sea lo suficientemente pequeña y se adhiera a la superficie de los conectores.

Sin embargo, la mejor manera de evitar la copia no autorizada es cifrar la unidad. Todavía podrán copiar los datos, pero sin la clave de descifrado, los datos copiados son inútiles.

Si alguien tuviera acceso físico a la unidad, no habría manera de saber si se realizó una copia bit a bit. Así es como comenzaría cualquier investigación forense. Hacer una imagen simple de un disco se puede hacer a través de herramientas de Linux como:

dd if=/dev/sda of=somefile.image

Crear una copia de este tipo significaría que tengo acceso total al disco cuando lo desee exactamente en el estado en que me lo proporcionó. Podría entregarle el disco y usar la imagen desde ese punto en adelante. No creo que haya ninguna manera de saber si esto se ha hecho ya que es una copia de solo lectura de bit a bit.

En cuanto a las políticas de Windows reales, hay características para el registro y la auditoría, pero no son muy expansivas de forma predeterminada. Depende de las políticas de auditoría que haya habilitado y de cómo estén configuradas. Pero una vez más, si tengo acceso físico, ¿por qué correr el riesgo? Simplemente haría una imagen del disco y haría lo que quiera con la imagen más adelante.

Me temo que no conozco una forma "confiable" de ver si se tocó algo. Puedes probar que algo fue tocado. No puedes probar que no lo fue.

Sin embargo :

Voy a incluir esto para completar, pero dudo mucho que esté en posición de aprovecharlo. Pero en una ocasión alguien ejecutó un script por lotes en Windows que simplemente cargó algunos datos a su correo electrónico en ciertos momentos. Era una perspectiva muy interesante.

Los discos duros modernos tienen, lo que se llama, S.M.A.R.T. vigilancia. Y con un poco de ayuda de smartmontools o herramientas similares (no he usado smartmontools en algunos años, así que no sé cómo se ha desarrollado, use su propio juicio allí) pudimos obtener información sobre la unidad que de hecho demostró que se había manipulado.

Entre los datos que miramos en la salida estaban (id, name, desc):

4   Start_Stop_Count    Spindle start/stop cycles
9   Power_On_Hours      Elapsed hours in power-on state
12  Power_Cycle_Count   # of full HDD power on/off cycles

Desde que habían estado registrando esta información, y la unidad era lo suficientemente grande como para que una imagen tomara un tiempo. Pudimos observar el recuento de ciclos, los ciclos de husillo y los cambios de horas para decir, dentro de toda duda razonable, que si el registro es verdadero y preciso, se accedió a la unidad desde el primer momento. Posiblemente para hacer una imagen.

Ahora, esto requiere que ya hayas tomado nota de los datos SMART de antemano. También es altamente especulativo y se basa en el registro preciso de la información. Pero sí existe. Puede ser usado. Tal vez en tu caso, para futuras referencias.

  

¿cómo se encuentra la última marca de fecha de acceso si un bloqueador de escritura no estaba   adjunto?

Vaya a Explorador de archivos o Explorador de Windows, y haga clic con el botón derecho para ver la imagen. Haga clic en Más

Hagaclicenmás

Marque la casilla como se muestra aquí y luego Ok

Los resultados se muestran ahora

Se debe ejecutar como administrador, si XP tiene esta utilidad.

fsutil usn readjournal c: