¿Hay algún método o herramienta que permita monitorear la actividad en el USB? Con actividad me refiero a si, por casualidad, puede ver si los archivos como ( pdf, jpeg, doc, etc, ...) se copiaron o abrieron en un dispositivo USB.
Normalmente hay tres marcas de tiempo registradas:
mtime - actualizado cuando los contenidos del archivo cambian. Este es el
Tiempo de archivo "predeterminado" en la mayoría de los casos. ctime - actualizado cuando el archivo
o sus metadatos (propietario, permisos) cambian atime - actualizado cuando
se lee el archivo Para su necesidad, necesitará atime , para que pueda abrir su dispositivo USB en el terminal:
user@ubuntu:/media/USB-2477$
y ejecuta: ls -l --time=atime myfile.pdf
Esto volverá a ti cuando fue la última vez que accediste a ese archivo. Para copiar el archivo, no estoy seguro de si se grabará.
O use stat ya que tiene una función similar:
stat --printf="Change %z\nAccess %x\nModify %y\n" myfile.pdf
Volverá:
Change 2017-09-27 21:06:23.000000000
Access 2017-09-27 22:04:00.000000000
Modify 2017-08-11 21:36:40.000000000
Lea otras preguntas en las etiquetas forensics