USBからのファイルが別のPCにコピーされたことを検出するにはどうすればよいですか?
誤ってUSBを友人に渡したところ、重要なファイルがいくつかあることに気付きました。彼がUSBから何かを取得したかどうかを知る方法はありますか?
ファイルアクセスに関するログはUSB自体に記録されません。せいぜい、ファイルを開いたプログラムによっては、ファイルのタイムスタンプを見るだけでファイルが変更されたかどうかを知ることができます。
しかし、USBを見て、ファイルがコピーされたかどうかを判断する方法はありません。
厳密に技術的な手段で確認する方法はありません。
一方、友人がウイルス対策ソフトウェアをインストールしている場合、USBスティックがマシンに接続されるとすぐにスキャンされます。これは、コピー操作の一部として読み取られるデータと完全に区別できません。
一方、トラックをカバーしたい場合は、タイムスタンプをリセットして、そもそも変更を防ぐ方法がたくさんあります。
だから...彼らに尋ねますか?彼らのマシンにアクセスし、ファイルのコピーを確認します(同意する場合)?あなたのデータは機密であり、誤ってコピーしてしまった場合は削除するようにお願いしてください。これらは、対人および法律SEの質問かもしれません。セキュリティに関しては、データはすでに危険にさらされています。
ディスク上にあるファイルシステムの種類によって異なります。 「フレンド」がファイルシステムを読み書き可能にマウントした場合、ほとんどのファイルシステムは_ls -lu_で表示できるアクセス時間を保持します。 (注:明らかに、Windows OSには_ls -lu_に相当するものがないため、これがあなたの手元にある場合、これは役に立ちません)。
「友達」がファイルシステムを読み取り専用でマウントした場合(またはnoatimeまたは同様のオプションを使用した場合)、またはディスクにアクセス時間を保存しないファイルシステム(特にFATと派生物)がある場合、または彼が自分のトラックをカバーした場合読み取り後にutime()を使用すると、この証拠は表示されません。
または、システム上の何かがファイルを自律的に(たとえば、概要を生成したり、マルウェアを探したりして)読み取ったものの、コンテンツを見たり、ファイルをコピーしたりしなかった場合、「誤検知」が発生する可能性があります。
結局のところ、メディアに記録されているわずかな情報は、情報にアクセスされたかどうか、アクセスされた場合はどのようにアクセスされたかについてはほとんどわかりません。
dir /T:Aと比較してdir /T:C
/T TimeField Specify the time field displayed
and used for sorting. TimeField may be any of the
following letters.
C : Creation time.
A : Last access time.
W : Last write time.
For instance, when you use the option "/T:C," the
time listed is when the file was created.
デフォルトでは、そのようなアクティビティの記録はありません。
ファイルがアクセスまたは変更されると、OSまたはアプリケーションのいずれかが「最終書き込み」または「最終アクセス」プロパティを更新できます。
Microsoftの ドキュメント によると:
NTFSでは、最終アクセス時刻の更新を無効にすることもできます。 NTFSボリュームでは、デフォルトでは最終アクセス時刻は更新されません。
あなたの友人はどんなファイルもコピーすることができ、私は「最後のアクセス」の日付が変わることを期待しません。
さらに、ファイルへのアクセスの失敗/成功の試みに対する監査は、彼のコンピュータのセキュリティログに記録されます。
決定的な方法
他の唯一の方法は、ファイル/フォルダーACLで外部SIDをチェックすることです。ファイルのアクセス許可([セキュリティ]タブ)を確認すると、未解決のSIDが表示されることがあります。
未解決のSIDは、SYSTEM、Network Service、JohnSmithなどの人間が読める名前ではなく、S-1-5-21-3624371015-3360199248-30038020-3220などの長い文字列として表示されます。
外部SIDは、ファイルの所有権または変更されたアクセス許可を取得した場合にのみ追加されるので、そのようなSIDがないことはアクセスの欠如を示すものではないことに注意してください。