ハードドライブにアクセスしたり、コンピュータをハッキングしたりしていませんか？

改ざんを検出する方法はいくつかあります。コンピューターのケースまたはドライブのポートに 改ざん防止ステッカー を適用することをお勧めします。これは絶対に確実なことではありませんが、検出されずに改ざんされる可能性があります。

ケースにステッカーを貼るのが最も簡単です。ケーブルポート、マザーボード側、ドライブ側にもステッカーを貼る必要があるかもしれませんが、それが十分に小さく、コネクタの表面に貼り付いているステッカーが見つかった場合。

しかし、不正コピーを防ぐ最善の方法は、ドライブを暗号化することです。データをコピーすることはできますが、復号化キーがないと、コピーしたデータは役に立ちません。

誰かがドライブ自体に物理的にアクセスできる場合、ビットごとのコピーが行われたかどうかを知る方法はありません。これが私が法医学調査を始める方法です。ドライブの単純なイメージを作成するには、次のようなLinuxツールを使用します。

dd if=/dev/sda of=somefile.image

そのようなコピーを作成するということは、あなたが私に与えた正確な状態でいつでも好きなときにドライブに完全にアクセスできることを意味します。ドライブをすぐに渡して、その時点からの画像を使用できます。これは少しずつ読み取り専用コピーであるため、これが行われたかどうかを判断する方法はないと思います。

実際のWindowsポリシーに関しては、ロギングと監査の機能がありますが、デフォルトではそれほど拡張性がありません。これは、有効にした監査ポリシーとその構成方法によって異なります。しかし、繰り返しになりますが、私が物理的にアクセスできるのであれば、なぜリスクを取るのですか。ドライブのイメージを作成し、後でそのイメージを使用して好きなことを何でもします。

何かが触れられたかどうかを確認するための「信頼できる」方法を私は知りません。何かが触れられたことを証明できます。それがそうでなかったことを証明することはできません。

ただし：

完全を期すためにこれを含めるつもりですが、あなたがそれを利用する立場にあることを強く疑います。しかし、ある場合には、誰かがWindowsでバッチスクリプトを実行し、特定の時間にデータをメールにアップロードするだけでした。とても興味深い展望でした。

現代のハードドライブには、いわゆるS.M.A.R.T.モニタリング。そして smartmontools または同様のツールの助けを借りて（数年はsmartmontoolsを使用していません）そのため、それがどのように開発されたかはわかりません。そこではご自身で判断してください）ドライブが改ざんされていることを実際に証明したドライブに関する情報を取得することができました。

出力で確認したデータには（id、name、desc）が含まれていました。

4   Start_Stop_Count    Spindle start/stop cycles
9   Power_On_Hours      Elapsed hours in power-on state
12  Power_Cycle_Count   # of full HDD power on/off cycles

彼らがこの情報を記録していたので、ドライブは画像がしばらくかかるのに十分な大きさでした。サイクルカウント、スピンドルサイクル、およびオン時間の変化を確認して、ロギングが真で正確であれば、そのままドライブにアクセスしたことを合理的な疑いの範囲内で確認できました。たぶん、イメージを作るために。

SMARTデータを事前にメモしておく必要があります。また、これは依然として非常に推論的であり、情報の正確な記録に依存しています。しかし、存在します。それは使用できます。ケース、将来の参照用。

書き込みブロッカーが添付されていない場合、最終アクセス日付のスタンプをどのようにして見つけますか？

ファイルエクスプローラーまたはWindowsエクスプローラーに移動し、右クリックして画像を表示します。クリック詳細

もっとクリック

ここに示すようにチェックボックスをオンにしてからOk

結果が表示されます

XPにこのユーティリティがある場合、管理者として実行する必要があります。

fsutil usn readjournal c: