題:
如何檢測何時將USB中的文件複製到另一台PC?
Harry Sattar
2018-10-10 21:22:07 UTC
view on stackexchange narkive permalink

我不小心將USB交給了我的朋友,然後我意識到它有一些重要的文件。我有什麼辦法可以知道他是否從USB那裡得到了東西?

如果他是**朋友**,你可以模仿一下,問他嗎?
@HashHazard肯定會否認
除非他不否認,否則@HarrySattar。如果他說“是”,那麼您知道。
@HarrySattar請記住,假設您的朋友會撒謊對您來說是相當有害的。這是在你身上。如果您的朋友“絕對沒做錯” **,那麼您已經假設他復制了您的文件並且會撒謊,根據當前信息,這是您“完全彌補”的情況**。
-1
@Kyslik,以及如果您打算將該項目作為啟動產品發布,該怎麼辦。我到處都有可以保存的項目。
如果將其從@tudor's註釋扔到Interpersonal.SE,請快速注意。我們不接受“我該怎麼辦?”在那邊問,所以“我應該問他嗎?”可能會被關閉。話雖這麼說:“當我借給他的USB時,我怎麼能問一個朋友他是否複製了一些敏感信息?”恰好適合。
某些應用程序通常在文檔屬性中存儲用戶名等。如果文件中包含該文件,則您的朋友可能不知道外觀。如果他復制了您的作品,進行了一些內容更改並聲稱文件是他自己的作品,那麼您仍然可以在外觀時看到屬性。這種方法依賴於許多假設...
五 答案:
schroeder
2018-10-10 21:34:27 UTC
view on stackexchange narkive permalink

關於文件訪問的USB本身未記錄任何日誌。充其量,您可能會通過查看文件時間戳來知道文件是否已更改,有時可能只是打開它們而發生,具體取決於打開它們的程序。

但是無法確定,通過查看USB,看是否複製了文件。

沒有時間戳記。我可以獲取歷史記錄打開哪些文件夾以及何時打開嗎?
文件的元數據中將帶有時間戳(右鍵單擊並選擇“屬性”,或在“文件資源管理器”中選擇“詳細信息”視圖)。您詢問的其他文件活動未記錄在Windows文件系統中。
這是假設您的朋友之後沒有重設訪問時間戳,如果您關心的話,這是微不足道的。
因此,@DavidFoerster處於“最佳狀態”。甚至自從您提到它以來,我都不得不查找它,所以我不確定“瑣碎”是否等同於“可能”。
我的評論不是對您的答案的批評,而是對OP和其他讀者的澄清。:-)瑣事通常在情人眼中。我的數學教授經常將解決方案中省略的部分稱為“瑣碎的”,意思是“您可能需要查找它,但理解這一部分應該沒有什麼麻煩”。
更重要的是,@DavidFoerster假定該朋友沒有以只讀方式安裝驅動器的遠見。
在Windows 7上在此處測試USB記憶棒時,我可以在文件屬性下看到一個“日期”,但看不到“訪問”的時間(不同於本地磁盤或網絡共享,其中“訪問”也有時間。仍然設置訪問時間。
還要注意,Windows中有註冊表設置(以及在Linux下可以設置的選項)會禁止更新訪問時間戳,因此絕對不能依賴它們。
我建議添加到此答案:*不要嘗試使用資源管理器查看訪問時間戳*。僅使用資源管理器打開包含文件的文件夾,可能導致它讀取文件以生成預覽圖像,從而丟失訪問時間信息。使用命令提示符和`dir / ta`獲取信息。但是正如下面的TobySpeight所指出的那樣,FAT文件系統(幾乎可以肯定是設備上的文件系統)無論如何都不會跟踪更新時間,因此該信息幾乎肯定不存在。
@Jules,但這也意味著該朋友可能只是在資源管理器中打開了設備才能在其中放置內容,因此更改的訪問時間戳無法證明已復制了任何內容。
IMil
2018-10-11 06:56:39 UTC
view on stackexchange narkive permalink

無法通過嚴格的技術手段來確保。

一方面,如果您的朋友安裝了防病毒軟件,則可能會在插入USB記憶棒後立即對其進行掃描。機;

另一方面,如果他們想掩蓋自己的足跡,可以通過多種方法重置時間戳,並防止它們被複製。首先改變。

所以...問他們嗎?可以訪問他們的機器並檢查文件的副本(如果他們同意)?告訴他們您的數據很敏感,如果他們不小心複製了數據,請問將其刪除?這些可能是人際和法律SE的問題;在安全方面,您的數據已經受到破壞。

Toby Speight
2018-10-11 13:59:57 UTC
view on stackexchange narkive permalink

這取決於磁盤上的文件系統類型。多數文件系統都保留一個訪問時間,可以通過 ls -lu 進行查看,前提是“朋友”以可讀/寫方式安裝了文件系統。 (注意:顯然Windows操作系統不等同於 ls -lu ,因此如果您擁有的話,這將沒有用。)

如果“朋友”掛載了文件系統只讀(或帶有 noatime 或類似選項),或者磁盤上的文件系統不存儲訪問時間(特別是FAT和派生類),或者他使用 utime覆蓋了自己的音軌(),那麼您將看不到該證據。

或者,如果他的系統上的某些內容自動讀取了文件(例如,用於生成摘要,或尋找惡意軟件),但他沒有看到內容或複製文件。

最後,媒體上記錄的很少信息幾乎不能告訴您是否已訪問該信息,如果可以的話,如何訪問它。

如果您知道Windows的`ls -lu`是什麼,那麼請對其進行編輯。由於我對Windows一無所知,因此我沒有資格這樣做。我什至不確定Windows是否可以實際安裝除本機文件系統以外的任何文件系統(可能還有ISO 9660?但是出於明顯的原因,該文件系統也不記錄訪問時間)。
Windows上的ls -lu等效於dir / ta,儘管由於各種Windows軟件(包括Explorer)傾向於自動打開並掃描它可以識別的任何類型的文件,所以它不太可能有用。為了顯示預覽,以及許多用戶安裝“調整”軟件的事實,出於性能原因,該軟件通常建議禁用訪問時間更新。另外,由於Windows默認情況下將可移動存儲設備格式化為FAT,因此在任何情況下都不太可能出現該信息,除非OP故意將設備格式化為NTFS。
TBH,當我閱讀問題時,我真的沒有想到它可能在Windows環境中。如果它甚至暗示了這一點,我也不會打擾。
而且我可能不是唯一在fstab中為所有媒體設置noatime的人(為了消除重複寫入時間戳的麻煩,當我不使用proram時,依賴它們-mutt之類)
Chris Paul
2018-10-11 16:59:01 UTC
view on stackexchange narkive permalink

您可以嘗試 dir / T:A 並與 dir / T:C 

  / T比較TimeField指定時間字段顯示並用於排序。 TimeField可以是以下任何字母。 C:創建時間。答:最後訪問時間。 W:上次寫入時間。例如,當您使用選項“ / T:C”時,列出的時間是文件創建的時間。

引用: https:/ /www.computerhope.com/dirhlp.htm

DoubleD
2018-10-11 22:41:57 UTC
view on stackexchange narkive permalink

默認情況下,不會記錄此類活動。

在訪問或更改文件時,操作系統或應用程序都可以更新其“最後寫入”或“最後訪問”屬性。

根據Microsoft的文檔

NTFS還允許禁用最後訪問時間更新。默認情況下,NTFS卷上的上次訪問時間不會更新。

您的朋友可以復制任何文件,並且我希望“上次訪問”日期不會更改。

此外,對訪問文件的失敗/成功嘗試的任何審核都將記錄在他計算機的安全日誌中。

不確定的方法

唯一的其他方法是檢查文件/文件夾ACL上的外部SID。如果查看文件的權限(在“安全性”選項卡上),則可能會出現未解析的SID。

未解析的SID會以長字符串形式出現,例如S-1-5-21-3624371015-3360199248-30038020 -3220,而不是諸如SYSTEM,Network Service或JohnSmith之類的易於理解的名稱。並不表示無法訪問。

這是正確的答案。即使Pendrive使用NTFS(不太可能),自Vista以來,默認情況下上次訪問時間也不會默認更新。
@kinokijuf對,即使它們已經*更新*,也並不意味著文件已被複製,僅意味著它們已被訪問,例如打開以供查看。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 4.0許可。
Loading...