Определить, был ли удален жесткий диск и скопированы ли с него данные?

Есть ли метод или инструмент, который может обнаружить, если кто-то отделил мой жесткий диск от моего компьютера, скопировал с него данные и вернул его обратно?

Я хочу быть уверен, что никто не сделал этого без моего ведома, но я не уверен, как это сделать.

• Примечание: я использую Deep freeze.

Использование глубокой заморозки не имеет значения в этой ситуации.

Если они полукомпетентны, они будут использовать интерфейс только для чтения.

Отметка времени последнего доступа будет изменена только в том случае, если они используют интерфейс чтения и записи. Отключить интерфейс записи тривиально. Это то, что делает криминалистика. Они никогда не помещают оригинальный диск в интерфейс чтения / записи. Всегда только для чтения. Затем они делают рабочую копию. Все без единого изменения оригинального диска.

Лучше всего использовать шифрование диска, такое как Bitlocker или TrueCrypt.

редактировать:

Большое спасибо, но не могли бы вы уточнить, что вы подразумеваете под интерфейсом чтения и записи, пожалуйста?

Устройства, подобные этим . , ,

Они физически блокируют доступ на запись к диску. Часто используется в судебно-медицинской экспертизе / восстановлении HD по юридическим и практическим причинам, как, например, дело Аманды Нокс.

Кажется, что все стремятся к полному шифрованию диска, что, безусловно, имеет свои преимущества для защиты ваших данных, но не решает вопрос о том, был ли кто-то на вашей машине и копался с вашим жестким диском.

Для этой простой задачи найдите пачку раздражающе липких простых ярлыков, которые, когда они застряли, рвутся, а не отрываются, подписывают на нем свое имя и наклеивают его на один из винтов, удерживающих жесткий диск на месте (не забудьте очистите пыль сначала для хорошей связи). Не совсем в том же масштабе, что и изготовители, которые вскрывают очевидные уплотнения, но должны оказаться достаточными для предотвращения извлечения жесткого диска без вашего ведома. Это означает, что им нужно либо сломать ярлык, предупреждающий вас об этом, либо вытащить провода из жесткого диска, а затем установить его на ноутбук, вынуждая их проводить больше времени с открытым корпусом, выглядя очень подозрительно!

Также стоит проверить заднюю часть вашего компьютера на наличие точки крепления замка, простой, довольно безопасный и эффективный.

Ни один из них не делает невозможным получение ваших данных, но одновременно добавляет значительный уровень неудобств и вынуждает злоумышленника либо действовать открыто (отрывая этикетки и болторезы к замку), либо тратить гораздо больше времени на манипулирование с компьютером и риск обнаружения ,

Чтобы обнаружить подделку на физическом уровне, вы можете использовать что-то вроде Torque Seal на монтажном оборудовании вашего диска или кабеле для передачи данных. Это лак, который высыхает хрупким, так что любое вмешательство взломает и сломает шар, установленный на оборудовании. Он используется для того, чтобы убедиться, что такие вещи, как гайки и болты на вертолетах, не сдвинулись и все еще работают в соответствии со спецификацией.

Атрибуты SMART могут помочь определить, был ли диск подделан между двумя интервалами. Эти атрибуты в Linux могут быть запрошены с помощью «smartctl -a / dev / sda».

Самым простым атрибутом для этого является, вероятно, Power_Cycle_Count. Когда вы включаете компьютер, это будет на единицу больше, чем значение, когда он последний раз выключался. Таким образом, запомнив это значение перед выключением и проверив его при следующем включении, вы сможете определить, был ли диск включен между ними.

Просто мысль ... может SMART (если есть) содержит некоторую информацию, которую можно использовать.

Я пессимистично отношусь к тому, что не могу прочитать диск и сказать, если кто-то это сделал, поэтому я бы посоветовал также использовать шифрование. Вы до сих пор не знаете, копировал ли кто-нибудь зашифрованные данные, но если он это сделал, это трудно сломать (надеюсь, что так).

Теперь злоумышленник умен, информирован, у него есть время, оборудование и деньги? Простой трюк, который не сработает, если злоумышленник читает здесь, - это приклеить волосок, который плохо видно и легко ломается, к вашему диску и шасси, лучше всего: через кабель передачи данных.

Теперь, если кто-то удалит диск, он сломает волосы, не упоминая об этом. За исключением того, что он прочитал этот совет и действует очень осторожно.

Если он очень хорошо экипирован, но вы тоже, можете взять волосы, на которых вы проводите ДНК-тест. Вы не говорите, чьи это волосы. Нарушитель может заменить волосы случайными, но не может заменить их волосами правильной ДНК. Но может он знает, как склеить сломанные волосы? Или он умеет растворять клей? :)

Если вы точно не помните, как вещи были размещены на вашем компьютере до предполагаемого вторжения (фотографическая память или фотография, два таких инструмента, которые сразу приходят на ум), будет очень трудно узнать, был ли удален ваш жесткий диск. с вашего компьютера.

Примечание. Функции проникновения в корпус обычно можно обойти, поэтому это может быть не самый надежный метод, хотя и может быть полезным.

Скорее всего, злоумышленник, который знает, как это сделать, также может быть достаточно умен, чтобы не изменять ваш диск каким-либо образом, и либо просто копировать только те файлы, которые ему нужны / нужны, либо копировать диск целиком, чтобы они могли «шпионить» на досуге в более позднее время.

Суть в том, что если вы действительно обеспокоены тем, что кто-то получает доступ к вашему жесткому диску, вы должны быть осторожны. Если физическое удаление компьютера от опасности не является жизнеспособным вариантом, то шифрование работает очень хорошо; это мой любимый инструмент шифрования диска:

  TrueCrypt (бесплатный и открытый исходный код)
  http://www.truecrypt.org/

Что мне особенно нравится в этом инструменте, так это то, что в нем нет встроенного бэкдора, поэтому даже решение суда не сможет его расшифровать, если вы предпримете правильные шаги для защиты ключа шифрования.

Насколько этот инструмент имеет отношение к вашей ситуации:

Если ваш жесткий диск зашифрован, а злоумышленник удаляет его с вашего компьютера для доступа к вашим данным, он найдет только зашифрованные данные (и первоначально операционная система, скорее всего, обнаружит его как «неинициализированный диск»), который просто выглядит как случайная информация практически для всех.

Злоумышленник может получить доступ к вашим данным двумя способами:

1. « Удачное предположение » на вашем пароле (так что выберите хороший, который трудно угадать, даже с помощью инструмента грубой силы атаки) или ключ (крайне маловероятно, хотя и не совсем невозможный)

2. Вы предоставили копию своего пароля или ключа злоумышленнику (намеренно или непреднамеренно)

На обычном домашнем компьютере (без особой физической защиты), когда компьютер выключен, не остается никаких следов действий, выполненных с оборудованием.

Если диск извлекается и монтируется только для чтения, было бы очень сложно определить, что это было сделано с помощью любого программного обеспечения.

Единственное, что приходит на ум, это то, что если диск был доступен для записи во время такого действия, а операционная система хоста закончила обновлять временные метки на диске (файлы, каталоги), вы могли бы обнаружить, что к диску физически осуществлялся доступ за пределами вашей системы. , Это связано с различными другими оговорками, такими как, у другой системы также было правильно установлено время (разумное ожидание, если пользователь не думал о монтировании только для чтения), и вы знаете временной интервал, когда ваша система должна была получить питание. вниз (следовательно, время доступа в этом окне подозрительно).

Чтобы такие данные могли быть использованы, вы должны смонтировать диск без доступа для записи, пока ваша «криминалистическая экспертиза» еще не завершена . После этого вы сможете прочитать время доступа к отдельным файлам и каталогам, чтобы определить, что было просмотрено (прочитано или скопировано).

Теперь, если в будущем существует вероятность кражи данных, было бы намного проще планировать заранее - просто зашифровать все ваши важные данные.

Разве мы не просто обходим реальную проблему здесь?

Как новорожденный ребенок, мы НИКОГДА не должны оставлять наш компьютер в открытом доступе! Где сейчас твоя тетрадь? Безопасность начинается с нас, а не после факта.

Личные данные приходят с определенной степенью паранойи. Если вы оставите его в своей системе, то вы боитесь, что он может быть украден. Если ваши данные так важны, то, как только вы их создадите / получите, удалите их на безопасное устройство хранения, то есть зашифрованное флэш-устройство SD. Это устройство всегда может быть с вами.

Современные компьютерные технологии не обнаруживают подделку данных на физическом устройстве хранения. Именно эта нехватка безопасности позволяет таким специалистам ПК, как я, спасать пользовательские данные в случае повреждения вирусами или вредоносными программами. Когда в будущем устройства хранения будут встроены в работающую программу безопасности, тогда само устройство будет знать, когда оно было взломано.

Просто ответственно относитесь к своим данным! Если вы разрешаете кому-либо доступ, то вы не можете жаловаться, если он используется!

Как прямой ответ на опубликованный вопрос; на сегодняшний день НЕТ, невозможно определить, кто-то удалил и просто скопировал ваши файлы.

Спасибо всем за внимание.

Многие новые компьютеры позволяют защищать паролем сам жесткий диск. Это будет настройка BIOS. Защита обеспечивается с помощью электроники привода, поэтому доступ будет запрещен на другой машине.

Имейте в виду, что шифрование, хотя и хорошая идея, если вам это нужно, также не позволит вам справиться со многими компьютерными проблемами. И если жесткий диск начал выходить из строя, вы никогда не сможете восстановить свои файлы с зашифрованного диска. Поэтому убедитесь, что у вас есть хорошие резервные копии. И образ зашифрованного диска все еще зашифрован и при необходимости может быть восстановлен на новый диск.

Встроенная EFS Windows (Encrypting File System) может использоваться для отдельных файлов и папок. А бесплатный инструмент шифрования Windows BitLocker может зашифровать весь диск.