Frage:
Wie erkenne ich, wann Dateien von meinem USB auf einen anderen PC kopiert wurden?
Harry Sattar
2018-10-10 21:22:07 UTC
view on stackexchange narkive permalink

Ich habe meinem Freund versehentlich meinen USB gegeben und dann festgestellt, dass er einige wichtige Dateien von mir enthält. Kann ich auf irgendeine Weise wissen, ob er etwas vom USB hat?

Wenn er ein ** Freund ** ist, kannst du analog gehen und ihn einfach fragen?
@HashHazard wird es mit Sicherheit leugnen
@HarrySattar, es sei denn, er bestreitet es nicht.Wenn er "Ja" sagt, dann wissen Sie.
@HarrySattar Denken Sie daran, es ist ziemlich giftig anzunehmen, dass Ihre Freunde Ihr Gesicht anlügen werden.Das liegt an dir.Wenn Ihr Freund ** absolut nichts Falsches ** getan hat **, gehen Sie bereits davon aus, dass er Ihre Dateien kopiert hat und darüber lügen wird, was nach aktuellen Informationen eine Situation ist, die Sie ** vollständig erfunden ** haben.
@Nelson Eigentlich hatte ich in diesen Dateien mein letztes Projekt.Was er nur schwer schaffen konnte.Und ich kenne ihn, er wird diesen Fehler ausnutzen. Soll ich ihn trotzdem fragen?
@Kyslik und was ist, wenn Sie dieses Projekt als Produkt Ihres Startups veröffentlichen möchten?Ich habe dieses Projekt überall dort, wo ich es retten konnte.
Kurzer Hinweis für den Fall, dass dies vom @tudor's-Kommentar an Interpersonal.SE übergeben wird.Wir akzeptieren nicht "Was soll ich tun?"Fragen dort drüben, also "Soll ich ihn fragen?"würde wahrscheinlich geschlossen werden.Davon abgesehen: "Wie kann ich einen Freund fragen, ob er vertrauliche Informationen kopiert hat, als ich ihm meinen USB geliehen habe?"würde genau passen.
Einige Anwendungen speichern routinemäßig den Namen des Benutzers usw. in den Dokumenteigenschaften.Wenn Ihre Dateien dies enthalten, weiß Ihr Freund möglicherweise nicht, wie er aussehen soll.Wenn er Ihre Arbeit kopiert, einige inhaltliche Änderungen vornimmt und behauptet, die Dateien seien seine eigene Arbeit, können Sie beim Betrachten weiterhin Eigenschaften sehen.Dieser Ansatz beruht auf vielen Annahmen ...
Fünf antworten:
schroeder
2018-10-10 21:34:27 UTC
view on stackexchange narkive permalink

Auf dem USB selbst werden keine Protokolle um Dateizugriffe aufgezeichnet. Im besten Fall können Sie anhand der Zeitstempel der Dateien feststellen, ob die Dateien geändert wurden. Dies kann manchmal nur durch Öffnen geschehen, je nachdem, welches Programm sie öffnet.

Es gibt jedoch keine Möglichkeit, dies zu bestimmen. Wenn Sie auf den USB-Stick schauen, ob die Dateien kopiert wurden.

Es sind keine Zeitstempel vorhanden.Kann ich den Verlauf abrufen, welche Ordner wann geöffnet wurden?
Die Metadaten der Dateien enthalten Zeitstempel (klicken Sie mit der rechten Maustaste und wählen Sie "Eigenschaften" oder wählen Sie im Datei-Explorer die Ansicht "Details").Die anderen Dateiaktivitäten, nach denen Sie fragen, werden nicht in Windows-Dateisystemen aufgezeichnet.
Dies setzt voraus, dass Ihr Freund den Zugriffszeitstempel danach nicht zurückgesetzt hat. Dies ist trivial, wenn Sie sich darum kümmern.
@DavidFoerster daher das "bestenfalls".Und selbst ich musste es nachschlagen, seit Sie es erwähnt haben, daher bin ich mir nicht sicher, ob "trivial" mit "wahrscheinlich" gleichzusetzen ist.
Mein Kommentar war weniger eine Kritik an Ihrer Antwort als vielmehr eine Klarstellung für OP und andere Leser.:-) Trivialität liegt oft im Auge des Betrachters.Mein Mathematikprofessor nannte ausgelassene Teile einer Lösung oft "trivial", was bedeutet "Sie müssen sie möglicherweise nachschlagen, aber Sie sollten wenig Probleme haben, diesen Teil zu verstehen".
@DavidFoerster unter der Annahme, dass der Freund nicht die Voraussicht hatte, das Laufwerk schreibgeschützt zu mounten.
Wenn ich hier unter Windows 7 einen USB-Stick teste, kann ich unter den Dateieigenschaften ein * Datum * sehen, aber keine Zeit für "Zugriff" (im Gegensatz zu einer lokalen Festplatte oder Netzwerkfreigabe, bei der "Zugriff" auch eine Zeit hat. Vorschauen können dies jedochStellen Sie die Zugriffszeit trotzdem ein.
Beachten Sie auch, dass es in Windows Registrierungseinstellungen gibt (und Optionen, die unter Linux festgelegt werden können), die die Aktualisierung von Zugriffszeitstempeln deaktivieren, sodass Sie sich absolut nicht auf sie verlassen können.
Ich würde vorschlagen, diese Antwort zu ergänzen: * Versuchen Sie nicht, Zugriffszeitstempel mit dem Explorer anzuzeigen *.Durch einfaches Öffnen des Ordners mit den Dateien mit dem Explorer können die Dateien gelesen werden, um ein Vorschaubild zu erstellen, wodurch die Informationen zur Zugriffszeit verloren gehen.Verwenden Sie eine Eingabeaufforderung und `dir / ta`, um die Informationen zu erhalten.Wie von TobySpeight weiter unten ausgeführt, verfolgen FAT-Dateisysteme (was mit ziemlicher Sicherheit auf dem Gerät vorhanden ist) die Aktualisierungszeiten ohnehin nicht, sodass die Informationen mit ziemlicher Sicherheit nicht vorhanden sind.
@Jules bedeutet aber auch, dass der Freund das Gerät einfach im Explorer hätte öffnen können, um dort etwas anzubringen, sodass die geänderten Zugriffszeitstempel nicht beweisen, dass etwas kopiert wurde.
IMil
2018-10-11 06:56:39 UTC
view on stackexchange narkive permalink

Es gibt keine Möglichkeit, mit rein technischen Mitteln sicher zu sein.

Wenn Ihr Freund einerseits eine Antivirensoftware installiert hat, würde er wahrscheinlich Ihren USB-Stick scannen, sobald er an dessen angeschlossen ist Maschine; und dies wäre völlig ununterscheidbar von Daten, die als Teil des Kopiervorgangs gelesen werden.

Wenn sie andererseits ihre Spuren verwischen möchten, gibt es viele Möglichkeiten, die Zeitstempel zurückzusetzen und ihre zu verhindern an erster Stelle ändern.

Also ... fragen Sie sie? Erhalten Sie Zugriff auf ihren Computer und suchen Sie nach den Kopien Ihrer Dateien (wenn sie zustimmen)? Sagen Sie ihnen, dass Ihre Daten vertraulich waren, und bitten Sie sie, sie zu löschen, wenn sie versehentlich kopiert wurden. Dies könnten die Fragen für Interpersonal and Law SE sein; In Bezug auf die Sicherheit sind Ihre Daten bereits gefährdet.

Toby Speight
2018-10-11 13:59:57 UTC
view on stackexchange narkive permalink

Es hängt davon ab, welche Art von Dateisystem sich auf der Festplatte befindet. Die meisten Dateisysteme behalten eine Zugriffszeit bei, die mit ls -lu angezeigt werden kann, vorausgesetzt, der "Freund" hat das Lese- / Schreibprogramm des Dateisystems bereitgestellt. (Hinweis: Anscheinend haben Windows-Betriebssysteme kein Äquivalent zu ls -lu , daher ist dies nicht hilfreich, wenn Sie dies haben.)

Wenn der "Freund" das Dateisystem gemountet hat schreibgeschützt (oder mit noatime oder ähnlichen Optionen), oder die Festplatte verfügt über ein Dateisystem, in dem keine Zugriffszeiten (insbesondere FAT und Derivate) gespeichert sind, oder er hat seine Spuren mit utime verwischt () nach dem Lesen werden diese Beweise nicht angezeigt.

Alternativ erhalten Sie möglicherweise ein "falsches Positiv", wenn etwas auf seinem System die Datei autonom liest (z. B. zum Generieren von Zusammenfassungen, oder nach Malware suchen), aber er hat den Inhalt nicht gesehen oder die Dateien nicht kopiert.

Am Ende sagen die wenigen Informationen, die auf den Medien aufgezeichnet sind, nur sehr wenig darüber aus, ob auf die Informationen zugegriffen wurde. und wenn ja, wie darauf zugegriffen wurde.

Wenn Sie wissen, was das Windows-Äquivalent von "ls -lu" ist, bearbeiten Sie es bitte in. Da ich nichts über Windows weiß, bin ich dafür nicht qualifiziert.Ich bin mir nicht einmal sicher, ob Windows tatsächlich andere Dateisysteme als die nativen bereitstellen kann (und möglicherweise ISO 9660? Aber das zeichnet aus offensichtlichen Gründen auch keine Zugriffszeiten auf).
Das Windows-Äquivalent von "ls -lu" ist "dir / ta", obwohl es aufgrund der Bereitschaft verschiedener Windows-Software (einschließlich Explorer), Dateien von Typen, die erkannt werden, automatisch zu öffnen und zu scannen, etwas weniger wahrscheinlich istum Vorschauen anzuzeigen, zusammen mit der Tatsache, dass viele Benutzer "Tweak" -Software installieren, die häufig empfiehlt, Zugriffszeitaktualisierungen aus Leistungsgründen zu deaktivieren.Da Windows Wechseldatenträger standardmäßig als FAT formatiert, sind die Informationen wahrscheinlich in keinem Fall vorhanden, es sei denn, OP hat das Gerät absichtlich als NTFS formatiert.
TBH, mir war wirklich nicht in den Sinn gekommen, dass es sich in einer Windows-Umgebung befunden haben könnte, als ich die Frage gelesen habe.Wenn es das sogar vorgeschlagen hätte, hätte ich mir nicht die Mühe gemacht zu antworten.
Außerdem bin ich wahrscheinlich nicht der einzige, der in fstab noatime für alle Medien festgelegt hat (um das wiederholte Schreiben von Zeitstempeln zu vermeiden, wenn ich keine Prorams verwende, die sich auf sie stützen - mutt und like).
Chris Paul
2018-10-11 16:59:01 UTC
view on stackexchange narkive permalink

Sie können dir / T: A ausprobieren und mit dir / T: C 

  / T TimeField vergleichen. Geben Sie das Zeitfeld an angezeigt und zum Sortieren verwendet. TimeField kann einer der folgenden Buchstaben sein. C: Erstellungszeit. A: Letzte Zugriffszeit. W: Letzte Schreibzeit. Wenn Sie beispielsweise die Option "/ T: C" verwenden, ist die angegebene Zeit die Zeit, in der die Datei erstellt wurde.

Siehe: https: / /www.computerhope.com/dirhlp.htm

DoubleD
2018-10-11 22:41:57 UTC
view on stackexchange narkive permalink

Standardmäßig werden solche Aktivitäten nicht aufgezeichnet.

Wenn auf eine Datei zugegriffen oder diese geändert wird, kann entweder das Betriebssystem oder die Anwendung ihren "letzten Schreibvorgang" aktualisieren. oder "Letzter Zugriff".

Gemäß der Dokumentation von Microsoft:

Mit NTFS können auch Aktualisierungen der letzten Zugriffszeit deaktiviert werden. Die letzte Zugriffszeit wird auf NTFS-Volumes standardmäßig nicht aktualisiert.

Ihr Freund könnte alle Dateien kopieren, und ich würde nicht erwarten, dass sich das Datum des "letzten Zugriffs" ändert. P. >

Darüber hinaus wird jede Überwachung auf fehlgeschlagene / erfolgreiche Versuche, auf Dateien zuzugreifen, im Sicherheitsprotokoll auf seinem Computer aufgezeichnet.

Eine nicht eindeutige Methode

Die einzige andere Methode ist die Suche nach fremden SIDs in Datei- / Ordner-ACLs. Wenn Sie sich die Berechtigungen für eine Datei (auf der Registerkarte Sicherheit) ansehen, werden möglicherweise nicht aufgelöste SIDs angezeigt.

Nicht aufgelöste SIDs werden als lange Zeichenfolgen angezeigt, z. B. S-1-5-21-3624371015-3360199248-30038020 -3220 anstelle von für Menschen lesbaren Namen wie SYSTEM, Network Service oder JohnSmith.

Beachten Sie, dass fremde SIDs nur hinzugefügt werden, wenn er Eigentümer von Dateien oder geänderten Berechtigungen ist, sodass solche SIDs fehlen keinen Mangel an Zugang anzeigen.

Dies ist die richtige Antwort.Selbst wenn das Pendrive NTFS verwendet (unwahrscheinlich), werden die letzten Zugriffszeiten seit Vista nicht standardmäßig aktualisiert.
@kinokijuf Richtig, und selbst wenn sie * aktualisiert * wurden, bedeutet dies nicht, dass die Dateien kopiert wurden, sondern nur, dass auf sie zugegriffen wurde, z. B. zum Anzeigen geöffnet.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...