Si alguien tuviera acceso físico a la unidad, no habría manera de saber si se realizó una copia bit a bit. Así es como comenzaría cualquier investigación forense. Hacer una imagen simple de un disco se puede hacer a través de herramientas de Linux como:
dd if=/dev/sda of=somefile.image
Crear una copia de este tipo significaría que tengo acceso total al disco cuando lo desee exactamente en el estado en que me lo proporcionó. Podría entregarle el disco y usar la imagen desde ese punto en adelante. No creo que haya ninguna manera de saber si esto se ha hecho ya que es una copia de solo lectura de bit a bit.
En cuanto a las políticas de Windows reales, hay características para el registro y la auditoría, pero no son muy expansivas de forma predeterminada. Depende de las políticas de auditoría que haya habilitado y de cómo estén configuradas. Pero una vez más, si tengo acceso físico, ¿por qué correr el riesgo? Simplemente haría una imagen del disco y haría lo que quiera con la imagen más adelante.
Me temo que no conozco una forma "confiable" de ver si se tocó algo. Puedes probar que algo fue tocado. No puedes probar que no lo fue.
Sin embargo :
Voy a incluir esto para completar, pero dudo mucho que esté en posición de aprovecharlo. Pero en una ocasión alguien ejecutó un script por lotes en Windows que simplemente cargó algunos datos a su correo electrónico en ciertos momentos. Era una perspectiva muy interesante.
Los discos duros modernos tienen, lo que se llama, S.M.A.R.T. vigilancia. Y con un poco de ayuda de smartmontools o herramientas similares (no he usado smartmontools en algunos años, así que no sé cómo se ha desarrollado, use su propio juicio allí) pudimos obtener información sobre la unidad que de hecho demostró que se había manipulado.
Entre los datos que miramos en la salida estaban (id, name, desc):
4 Start_Stop_Count Spindle start/stop cycles
9 Power_On_Hours Elapsed hours in power-on state
12 Power_Cycle_Count # of full HDD power on/off cycles
Desde que habían estado registrando esta información, y la unidad era lo suficientemente grande como para que una imagen tomara un tiempo. Pudimos observar el recuento de ciclos, los ciclos de husillo y los cambios de horas para decir, dentro de toda duda razonable, que si el registro es verdadero y preciso, se accedió a la unidad desde el primer momento. Posiblemente para hacer una imagen.
Ahora, esto requiere que ya hayas tomado nota de los datos SMART de antemano. También es altamente especulativo y se basa en el registro preciso de la información. Pero sí existe. Puede ser usado. Tal vez en tu caso, para futuras referencias.