Accidentalmente le di mi USB a mi amigo y luego me di cuenta de que tenía algunos archivos importantes míos. ¿Hay alguna manera de saber si obtuvo algo del USB?
Accidentalmente le di mi USB a mi amigo y luego me di cuenta de que tenía algunos archivos importantes míos. ¿Hay alguna manera de saber si obtuvo algo del USB?
No se graban registros en el propio USB alrededor de los accesos a archivos. En el mejor de los casos, es posible que sepa si los archivos se modificaron mirando las marcas de tiempo de los archivos, lo que a veces puede ocurrir simplemente abriéndolos, según el programa que los abra.
Pero no habrá manera de determinar, mirando el USB, si los archivos fueron copiados.
No hay forma de estar seguro por medios estrictamente técnicos.
Por un lado, si su amigo tiene instalado un software antivirus, probablemente escaneará su memoria USB tan pronto como se conecte a su máquina; y esto sería completamente indistinguible de los datos que se leen como parte de la operación de copia.
Por otra parte, si les gustaría cubrir sus pistas, hay muchas formas de restablecer las marcas de tiempo y de evitar su cambio en primer lugar.
Entonces ... pregúntales? ¿Obtener acceso a su máquina y verificar las copias de sus archivos (si están de acuerdo)? Dígales que sus datos eran confidenciales y pídales amablemente que los borren si los copiaron accidentalmente. Estas podrían ser las preguntas para Interpersonal y Law SE; En cuanto a la seguridad, sus datos ya están comprometidos.
Depende de qué tipo de sistema de archivos está en el disco. La mayoría de los sistemas de archivos conservan un tiempo de acceso que puede verse con ls -lu
, siempre que el "amigo" haya montado la lectura / escritura del sistema de archivos. (Nota: al parecer, los sistemas operativos Windows no tienen un equivalente a ls -lu
, por lo que esto no será útil si eso es lo que tienes).
Si el "amigo" montó el sistema de archivos de solo lectura (o con noatime
u opciones similares), o si el disco tiene un sistema de archivos que no almacena los tiempos de acceso (especialmente FAT y derivados), o si cubrió sus pistas Al usar utime()
después de leer, no verá esta evidencia.
Como alternativa, puede obtener un "falso positivo" si algo en su sistema lee el archivo de forma autónoma (por ejemplo, para generar resúmenes o buscar malware), pero no vio el contenido ni copió los archivos.
Al final, la poca información que se registra en los medios de comunicación le dice muy poco sobre si se accedió a la información y, de ser así, cómo se accedió.
Puedes probar dir /T:A
y comparar con dir /T:C
/T TimeField Specify the time field displayed
and used for sorting. TimeField may be any of the
following letters.
C : Creation time.
A : Last access time.
W : Last write time.
For instance, when you use the option "/T:C," the
time listed is when the file was created.
Consulte: enlace
De forma predeterminada, no habrá registro de dicha actividad.
Cuando se accede o cambia un archivo, el SO o la aplicación pueden actualizar su propiedad de "última escritura" o "último acceso".
Según la documentación de Microsoft :
NTFS también permite deshabilitar las actualizaciones de última hora de acceso. Ultimo acceso el tiempo no se actualiza en los volúmenes NTFS de forma predeterminada.
Su amigo podría copiar cualquier archivo (s), y no esperaría que la fecha de "último acceso" cambiara.
Además, cualquier auditoría de intentos fallidos / exitosos para acceder a archivos se registrará en el registro de seguridad de su computadora.
Un método inconcluso
El único otro método es verificar si hay SID extraños en las ACL de archivos / carpetas. Si observa los permisos de un archivo (en la pestaña Seguridad), pueden aparecer SID sin resolver.
Los SID no resueltos aparecen como cadenas largas, como S-1-5-21-3624371015-3360199248-30038020-3220, en lugar de nombres legibles como SISTEMA, Servicio de red o JohnSmith.
Tenga en cuenta que los SID foráneos solo se agregarán si él es el propietario de los archivos o los permisos modificados, por lo que la ausencia de dichos SID no indica una falta de acceso.