我不小心將USB交給了我的朋友,然後我意識到它有一些重要的文件。我有什麼辦法可以知道他是否從USB那裡得到了東西?
我不小心將USB交給了我的朋友,然後我意識到它有一些重要的文件。我有什麼辦法可以知道他是否從USB那裡得到了東西?
關於文件訪問的USB本身未記錄任何日誌。充其量,您可能會通過查看文件時間戳來知道文件是否已更改,有時可能只是打開它們而發生,具體取決於打開它們的程序。
但是無法確定,通過查看USB,看是否複製了文件。
無法通過嚴格的技術手段來確保。
一方面,如果您的朋友安裝了防病毒軟件,則可能會在插入USB記憶棒後立即對其進行掃描。機;
另一方面,如果他們想掩蓋自己的足跡,可以通過多種方法重置時間戳,並防止它們被複製。首先改變。
所以...問他們嗎?可以訪問他們的機器並檢查文件的副本(如果他們同意)?告訴他們您的數據很敏感,如果他們不小心複製了數據,請問將其刪除?這些可能是人際和法律SE的問題;在安全方面,您的數據已經受到破壞。
這取決於磁盤上的文件系統類型。多數文件系統都保留一個訪問時間,可以通過 ls -lu
進行查看,前提是“朋友”以可讀/寫方式安裝了文件系統。 (注意:顯然Windows操作系統不等同於 ls -lu
,因此如果您擁有的話,這將沒有用。)
如果“朋友”掛載了文件系統只讀(或帶有 noatime
或類似選項),或者磁盤上的文件系統不存儲訪問時間(特別是FAT和派生類),或者他使用 utime覆蓋了自己的音軌()
,那麼您將看不到該證據。
或者,如果他的系統上的某些內容自動讀取了文件(例如,用於生成摘要,或尋找惡意軟件),但他沒有看到內容或複製文件。
最後,媒體上記錄的很少信息幾乎不能告訴您是否已訪問該信息,如果可以的話,如何訪問它。
您可以嘗試 dir / T:A
並與 dir / T:C
/ T比較TimeField指定時間字段顯示並用於排序。 TimeField可以是以下任何字母。 C:創建時間。答:最後訪問時間。 W:上次寫入時間。例如,當您使用選項“ / T:C”時,列出的時間是文件創建的時間。
默認情況下,不會記錄此類活動。
在訪問或更改文件時,操作系統或應用程序都可以更新其“最後寫入”或“最後訪問”屬性。
根據Microsoft的文檔:
NTFS還允許禁用最後訪問時間更新。默認情況下,NTFS卷上的上次訪問時間不會更新。
您的朋友可以復制任何文件,並且我希望“上次訪問”日期不會更改。
此外,對訪問文件的失敗/成功嘗試的任何審核都將記錄在他計算機的安全日誌中。
不確定的方法
唯一的其他方法是檢查文件/文件夾ACL上的外部SID。如果查看文件的權限(在“安全性”選項卡上),則可能會出現未解析的SID。
未解析的SID會以長字符串形式出現,例如S-1-5-21-3624371015-3360199248-30038020 -3220,而不是諸如SYSTEM,Network Service或JohnSmith之類的易於理解的名稱。並不表示無法訪問。