web-dev-qa-db-ja.com

ファイルがUSBにコピーされているかどうかを確認します

ファイルがUSBドライブにコピーされているかどうかを確認する方法はありますか?

(例:私はファイルsecret.dbを持っており、友人がそれを彼のUSBドライブにコピーしたと思います。stat $filenamecpはタイムスタンプを更新しないため、更新されたa/c/m/timeが表示されません)。

それを知る方法はありますか、それとも不可能ですか?

私はBashv4でUbuntu12.04を使用しています。

3
polslinux

TL; DR:多くの場合、ファイルがアクセスされたかどうかを確認できます。ただし、コピーが作成されたかどうかを判断することはできません。

atimeを使用する場合はcp更新される予定 のようです(noatimeが有効な場合を除く)。ただし、他の読み取り操作(grep somestring $filenameなど)を実行すると、ファイルも変更されます。

ほとんどのインストール(大量の監査なし)では、why正確にファイルが読み取られたかどうか、およびファイルを読み取るプロセスがデータのコピーを他の場所(USBに)に書き込んだかどうかを確認することはできません。 ?ソケットに?RAMに?)。

さらに、これはオンラインの非特権攻撃にのみ関係します。物理的なアクセス権がある場合は、ライブCDディストリビューションで再起動し、パーティションを読み取り専用でマウントし、コピーanythingオフ(またはフルディスクイメージを作成)すると、マークは表示されません。パーティション(増分マウントカウンターを除く)。