Question:
Comment détecter quand des fichiers de ma clé USB ont été copiés sur un autre PC?
Harry Sattar
2018-10-10 21:22:07 UTC
view on stackexchange narkive permalink

J'ai accidentellement donné ma clé USB à mon ami, puis j'ai réalisé qu'elle contenait des fichiers importants à moi. Y a-t-il un moyen pour que je sache s'il a obtenu quelque chose de la clé USB?

Si c'est un ** ami **, pouvez-vous passer à l'analogique et lui demander?
@HashHazard à coup sûr, il niera
@HarrySattar à moins qu'il ne le nie.S'il dit «oui», vous le savez.
@HarrySattar N'oubliez pas qu'il est assez toxique de supposer que vos amis vous mentiront au visage.C'est sur toi.Si votre ami n'avait fait ** absolument rien de mal **, vous supposez déjà qu'il a copié vos fichiers et qu'il mentira à ce sujet, ce qui est, sur la base des informations actuelles, une situation que vous ** complètement inventée **.
@Nelson En fait, dans ces fichiers, j'avais mon projet final.Ce qu'il avait du mal à créer.Et je sais qu'il profitera de cette erreur, devrais-je lui demander?
@Kyslik et si vous envisagez de publier ce projet en tant que produit de votre startup.J'ai ce projet partout où je pourrais sauver.
Note rapide au cas où cela serait renvoyé à Interpersonal.SE à partir du commentaire @tudor's.Nous n'acceptons pas "Que dois-je faire?"questions là-bas, alors "Dois-je lui demander?"serait probablement fermé.Cela étant dit, "Comment puis-je demander à un ami s'il a copié des informations sensibles lorsque je lui ai prêté ma clé USB?"s'intégrerait parfaitement.
Certaines applications stockent régulièrement le nom de l'utilisateur, etc. dans les propriétés du document.Si vos fichiers incluent cela, votre ami peut ne pas savoir pour regarder.S'il copie votre travail, apporte des modifications au contenu et prétend que les fichiers sont son propre travail, vous pourrez toujours voir les propriétés lorsque vous regardez.Cette approche repose sur de nombreuses hypothèses ...
Cinq réponses:
schroeder
2018-10-10 21:34:27 UTC
view on stackexchange narkive permalink

Aucun journal n'est enregistré sur l'USB lui-même autour des accès aux fichiers. Au mieux, vous pouvez savoir si les fichiers ont été modifiés en regardant les horodatages des fichiers, ce qui peut parfois se produire simplement en les ouvrant, selon le programme qui les ouvre.

Mais il n'y aura aucun moyen de déterminer, en regardant la clé USB, si les fichiers ont été copiés.

Aucun horodatage n'est présent.Puis-je obtenir l'historique des dossiers ouverts et quand ??
Il y aura des horodatages dans les métadonnées des fichiers (clic droit et choisissez "Propriétés" ou choisissez la vue "Détails" dans l'Explorateur de fichiers).Les autres activités de fichiers que vous demandez ne sont pas enregistrées dans les systèmes de fichiers Windows.
Cela suppose que votre ami n'a pas réinitialisé l'horodatage d'accès par la suite, ce qui est trivial si vous vous en souciez.
@DavidFoerster d'où le "au mieux".Et même moi, j'ai dû le chercher depuis que vous l'avez mentionné, donc je ne suis pas sûr que «trivial» puisse être assimilé à «probable».
Mon commentaire était moins une critique de votre réponse et plus une clarification pour OP et les autres lecteurs.:-) La trivialité est souvent dans l'œil du spectateur.Mon professeur de mathématiques appellerait souvent les parties omises d'une solution «triviales», ce qui signifie «vous devrez peut-être la rechercher mais vous devriez avoir peu de mal à comprendre cette partie».
@DavidFoerster en supposant, plus important encore, que l'ami n'avait pas la prévoyance de monter le lecteur en lecture seule.
En testant une clé USB ici sur Windows 7, je peux voir une * date *, mais pas une heure pour «accédé» sous les propriétés du fichier (contrairement à un disque local ou à un partage réseau, où «accédé» a aussi un temps. Mais les aperçus peuventdéfinissez quand même l'heure d'accès.
Notez également qu'il existe des paramètres de registre dans Windows (et des options qui peuvent être définies sous Linux) qui désactivent la mise à jour des horodatages d'accès, de sorte qu'ils ne peuvent absolument pas être fiables.
Je suggère d'ajouter à cette réponse: * n'essayez pas d'afficher les horodatages d'accès à l'aide de l'Explorateur *.Le simple fait d'ouvrir le dossier contenant les fichiers avec l'Explorateur peut provoquer la lecture des fichiers afin de produire une image d'aperçu, perdant ainsi les informations de temps d'accès.Utilisez une invite de commande et `dir / ta` pour obtenir les informations.Mais comme indiqué par TobySpeight ci-dessous, les systèmes de fichiers FAT (ce qui est presque certainement ce qui se trouve sur l'appareil) ne suivent de toute façon pas les temps de mise à jour, donc les informations n'existent presque certainement pas.
@Jules mais cela signifie également que l'ami aurait simplement pu ouvrir l'appareil dans l'explorateur afin d'y mettre quelque chose, donc les horodatages d'accès modifiés ne prouvent pas que quelque chose a été copié.
IMil
2018-10-11 06:56:39 UTC
view on stackexchange narkive permalink

Il n'y a aucun moyen d'en être sûr par des moyens strictement techniques.

D'une part, si votre ami a installé un logiciel antivirus, il scannerait probablement votre clé USB dès qu'elle serait branchée sur son machine; et cela serait complètement impossible à distinguer des données lues dans le cadre de l'opération de copie.

D'un autre côté, s'ils souhaitent couvrir leurs traces, il existe de nombreuses façons de réinitialiser les horodatages et d'empêcher leur changer en premier lieu.

Alors ... demandez-leur? Accéder à leur machine et vérifier les copies de vos fichiers (s'ils acceptent)? Dites-leur que vos données étaient sensibles et demandez-leur de bien vouloir les supprimer s'ils les ont copiées accidentellement? Telles pourraient être les questions pour les SE interpersonnels et de droit; du point de vue de la sécurité, vos données sont déjà compromises.

Toby Speight
2018-10-11 13:59:57 UTC
view on stackexchange narkive permalink

Cela dépend du type de système de fichiers sur le disque. La plupart des systèmes de fichiers conservent un temps d'accès qui peut être visualisé avec ls -lu , à condition que "l'ami" ait monté le système de fichiers en lecture / écriture. (Remarque: apparemment, les systèmes d'exploitation Windows n'ont pas d'équivalent à ls -lu , donc ce ne sera pas utile si c'est ce que vous avez).

Si "l'ami" a monté le système de fichiers en lecture seule (ou avec noatime ou des options similaires), ou le disque a un système de fichiers qui ne stocke pas les temps d'accès (notamment FAT et dérivés), ou il a couvert ses traces en utilisant utime () après la lecture, vous ne verrez pas cette preuve.

Alternativement, vous pourriez obtenir un "faux positif" si quelque chose sur son système lit le fichier de manière autonome (par exemple pour générer des résumés, ou à la recherche de logiciels malveillants), mais il n’a pas vu le contenu ni copié les fichiers.

En fin de compte, le peu d’informations enregistrées sur le média vous en dit très peu sur l’accès à l’information, et si oui, comment y accéder.

Si vous savez ce qu'est l'équivalent Windows de `ls -lu`, veuillez le modifier. Comme je ne connais rien à Windows, je ne suis pas qualifié pour le faire.Je ne suis même pas sûr que Windows puisse réellement monter des systèmes de fichiers autres que ses systèmes natifs (et peut-être ISO 9660? Mais cela n'enregistre pas non plus les temps d'accès, pour des raisons évidentes).
L'équivalent Windows de `ls -lu` est` dir / ta`, bien qu'il soit un peu moins utile en raison de la pré-densité de divers logiciels Windows (y compris l'Explorateur) pour ouvrir et analyser automatiquement tous les fichiers de types qu'il reconnaît dansafin d'afficher des aperçus, ainsi que le fait que de nombreux utilisateurs installent un logiciel "tweak" qui recommande souvent de désactiver les mises à jour du temps d'accès pour des raisons de performances.De plus, étant donné que Windows formate par défaut les périphériques de stockage amovibles en FAT, il est peu probable que les informations soient présentes dans tous les cas, sauf si OP a intentionnellement formaté le périphérique en NTFS.
TBH, je ne m'étais vraiment pas rendu compte que c'était peut-être dans un environnement Windows lorsque j'ai lu la question.Si cela avait même suggéré cela, je n'aurais pas pris la peine de répondre.
De plus, je ne suis probablement pas le seul à avoir défini dans fstab noatime pour tous les médias (pour éliminer l'écriture des horodatages à plusieurs reprises, lorsque je n'utilise pas de prorams, qui reposent sur eux - mutt et autres)
Chris Paul
2018-10-11 16:59:01 UTC
view on stackexchange narkive permalink

Vous pouvez essayer dir / T: A et comparer avec dir / T: C 

  / T TimeField Spécifiez le champ d'heure affiché et utilisé pour le tri. TimeField peut être l'une des lettres suivantes. C: Temps de création. R: Heure du dernier accès. W: Heure de la dernière écriture. Par exemple, lorsque vous utilisez l'option "/ T: C", l'heure indiquée est celle de la création du fichier.

Reportez-vous: https: / /www.computerhope.com/dirhlp.htm

DoubleD
2018-10-11 22:41:57 UTC
view on stackexchange narkive permalink

Par défaut, il n'y aura aucun enregistrement de cette activité.

Lorsqu'un fichier est accédé ou modifié, le système d'exploitation ou l'application peut mettre à jour sa "dernière écriture" ou propriété "dernier accès".

Selon la documentation de Microsoft:

NTFS permet également de désactiver les mises à jour de l'heure du dernier accès. L'heure du dernier accès n'est pas mise à jour par défaut sur les volumes NTFS.

Votre ami pourrait copier n'importe quel fichier (s), et je ne m'attendrais pas à ce que la date du "dernier accès" change.

De plus, tout audit des tentatives d'accès échouées / réussies aux fichiers serait enregistré dans le journal de sécurité de son ordinateur.

Une méthode non concluante

La seule autre méthode consiste à vérifier les SID étrangers sur les ACL de fichiers / dossiers. Si vous regardez les autorisations sur un fichier (dans l'onglet Sécurité), des SID non résolus peuvent apparaître.

Les SID non résolus apparaissent sous forme de longues chaînes, telles que S-1-5-21-3624371015-3360199248-30038020 -3220, plutôt que des noms lisibles par l'homme comme SYSTEM, Network Service ou JohnSmith.

Notez que les SID étrangers ne seront ajoutés que s'il prend possession des fichiers ou des autorisations modifiées, donc l'absence de tels SID n'indique pas un manque d'accès.

C'est la bonne réponse.Même si la clé USB utilise NTFS (peu probable), les derniers temps d'accès ne sont pas mis à jour par défaut depuis Vista.
@kinokijuf Oui, et même s'ils * ont été * mis à jour, cela ne signifie pas que les fichiers ont été copiés, cela signifie simplement qu'ils ont été accédés, par exemple ouverts pour visualisation.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...