Визначення того, чи видалено жорсткий диск і скопійовані з нього дані?

Чи існує метод чи інструмент, який може виявити, чи хтось відокремив мій жорсткий диск від мого комп'ютера, скопіював з нього дані та повернув їх назад?

Я хочу бути впевненим, що ніхто не зробив цього без мого відома, але я не впевнений, як це зробити.

• Примітка: я використовую Deep freeze.

Застосування глибокого заморожування не має значення в цій ситуації.

Якщо вони напівкомпетентні, вони використовуватимуть інтерфейс лише для читання.

Остання мітка часу доступу буде змінена лише в тому випадку, якщо вони використовують інтерфейс читання і запису. Відключення інтерфейсу запису тривіально. Це те, що робить криміналістика. Вони ніколи не ставлять оригінальний привід в інтерфейс читання / запис. Завжди лише для читання. Потім роблять робочу копію. Все без зміни жодного біта на оригінальному диску.

Ваша найкраща ставка - це використання шифрування диска на зразок Bitlocker або TrueCrypt.

редагувати:

дякую багато, але ви могли б уточнити більше, що ви розумієте під читанням і записом інтерфейсу, будь ласка ??

Такі пристрої, як ці . . .

Вони фізично блокують доступ запису на диск. Часто використовується в криміналістиці / відновлення високої чіткості з юридичних та практичних причин, як у випадку Amanda Knox.

Здається, всі збираються на повне шифрування дисків, що, безумовно, має свої достоїнства для захисту ваших даних, але не стосується питання про те, щоб сказати, чи хтось був у вашій машині та маніпулює вашим жорстким диском.

Для цього простого завдання знайдіть пакет дратуючих липких простих етикеток, які, як тільки застрягли, рвуться, а не чисто знімаються, підпишіть на ньому своє ім’я та наклейте його на один з гвинтів, утримуючи ваш hdd на місці (не забудьте спочатку очистіть пил для гарного зчеплення). Не зовсім у тому ж масштабі, що виробники підробляють очевидні пломби, але вони повинні виявитися достатніми, щоб не допустити, щоб хтось виймав жорсткий диск без вашого відома. Це означає, що вони або повинні зламати етикетку, яка сповіщає вас про цей факт, або витягнути дроти з жорсткого диска, а потім встановити його на ноутбук, змушуючи їх проводити більше часу, коли ваш відкритий корпус виглядає дуже підозрілим!

Також варто перевірити на задній панелі ПК на предмет кріплення замку, простий, досить безпечний та ефективний.

Це також не робить неможливим отримати ваші дані, але обидва додають значний рівень незручностей і змушують зловмисника або діяти відверто (зірвати ярлики та болторізи до висячого замка), або витратити набагато більше часу на маніпулювання ПК та ризику їх виявлення .

Щоб виявити фальсифікацію на фізичному рівні, ви можете використовувати щось на кшталт Torque Seal на кріпильному пристрої вашого диска або на кабелі передачі даних. Це лак, який висихає крихким, тому будь-яке фальсифікація зламає і зламає глобус, встановлений на обладнання. Він використовується для того, щоб переконатися, що такі речі, як гайки та болти на вертольотах, не перемістилися і все ще піддаються спекуляції.

Атрибути SMART можуть допомогти визначити, чи був диск підроблений між двома інтервалами. Ці атрибути в Linux можна запитувати за допомогою "smartctl -a / dev / sda".

Найпростіший атрибут для цього, мабуть, Power_Cycle_Count. Коли ви вмикаєте комп'ютер, це буде на один більший за значення, коли воно було останнє вимкнено. Отже, запам’ятавши це значення перед тим, як вимкнути його, і перевіривши його при наступному включенні живлення, ви можете визначити, чи був диск включений між ними.

Просто думка ... можливо, SMART (якщо є) містить деяку інформацію, яку можна використовувати.

Я песимістично налаштований на те, щоб запобігти читанню диска і сказати, якщо хтось це зробив, тому я б радив також використовувати шифрування. Ви все ще не знаєте, чи хтось копіював зашифровані дані, але якщо він це зробити, важко зламати (сподіваюся, що так).

Тепер нападник розумний, поінформований, чи має він час, обладнання та гроші? Простий трюк, який не спрацює, якщо поганий хлопець читає тут, - це приклеїти волосся, яке важко помітити, і легко зламати, до вашого приводу та шасі, найкраще: через кабель передачі даних.

Тепер, якщо хтось зніме привід, він зламає волосся, не згадуючи про це. За винятком того, що він читає цю пораду і діє дуже уважно.

Якщо він дуже добре обладнаний, але ви теж є, ви можете взяти волосся, на якому ви зробите ДНК-тест. Ви не кажете, для кого це волосся. Зловмисник може замінити волосся випадковим, але не може замінити його волоссям правильної ДНК. Але, може, він знає, як склеїти зламане волосся разом? Або він знає, як розчинити клей? :)

Якщо ви не можете згадати, як саме розміщувались речі у вашому комп’ютері до підозри на вторгнення (фотопам'ять чи фотографія, це два такі інструменти, які негайно приходять у голову), буде дуже важко дізнатися, чи було вилучено ваш жорсткий диск зі свого комп’ютера.

Примітка: Особливості вторгнення в шасі зазвичай можна обійти, тому це може бути не найнадійнішим методом, хоча це може бути корисним.

Цілком ймовірно, що зловмисник, який знає, як це зробити, може також бути досить розумним, щоб ні в якому разі не змінювати свій диск, а також просто скопіювати лише потрібні файли / файли, або скопіювати диск у повному обсязі, щоб вони могли «проскочити навколо "у своє дозвілля в якийсь пізній час.

Суть полягає в тому, що якщо ви по-справжньому стурбовані тим, хто має доступ до вашого жорсткого диска, ви повинні бути запобіжними. Якщо фізичне видалення комп'ютера подалі від небезпеки не є життєздатним варіантом, шифрування працює дуже добре; це мій улюблений інструмент шифрування диска:

  TrueCrypt (безкоштовний та відкритий код)
  http://www.truecrypt.org/

Що мені особливо подобається в цьому інструменті, це те, що немає вбудованого бекдорда, тому навіть судовий наказ не розшифрується, якщо ви вжили правильних заходів для захисту ключа шифрування.

Наскільки цей інструмент відповідає вашій ситуації:

Якщо ваш жорсткий диск зашифрований, а зловмисник видаляє його з комп'ютера з метою доступу до ваших даних, вони знайдуть лише зашифровані дані (і, спочатку Операційна система, швидше за все, виявить їх як "неініціалізований диск"), просто схожа на випадкову інформацію для кожного.

Два способи зловмисника можуть отримати доступ до ваших даних:

1. " Вдалий здогад " у вашому паролі (тому виберіть хороший, який важко здогадатися, навіть за допомогою жорстокого нападника) або ключ (дуже малоймовірно, хоча і не зовсім неможливо)

2. Ви надали копію свого пароля або ключа зловмиснику (навмисно або ненавмисно)

Якщо у вас середній домашній комп’ютер (немає спеціального фізичного захисту), коли машина вимикається, не залишається жодного сліду від дій, виконаних із обладнанням.

Якщо диск буде видалено та встановлено лише для читання, виявити це було б дуже важко за допомогою будь-якого програмного забезпечення.

Єдине, що спадає на думку, - якщо диск під час такої діяльності записувався, а хост-операція закінчувала оновлення часових міток на диску (файли, каталоги), ви могли б виявити, що диск був доступним фізично за межами вашої системи . Це пов'язано з різними іншими застереженнями, як, наприклад, інша система також встановила свій час правильно (розумне очікування, якщо користувач не думає про кріплення лише для читання). вниз (значить, час доступу у цьому вікні підозрюваний).

Щоб такі дані були корисними, ви повинні встановити диск без доступу до запису, поки ваша «криміналістика» не виконана . Тоді ви зможете прочитати час доступу окремих файлів і каталогів, щоб визначити, що було переглянуто (прочитано чи скопійовано).

Тепер, якщо це передбачено можливістю крадіжки даних, планувати заздалегідь буде простіше - просто зашифруйте всі ваші критичні дані.

Хіба ми не просто тут прокручуємо справжню проблему?

Як і новонароджена дитина, ми НІКОЛИ не повинні залишати свій ПК у відкритому доступі! Де зараз ваш ноутбук? Безпека починається з нас, а не після факту.

Особисті дані надходять із ступенем параної. Якщо ви залишите його у вашій системі, тоді ви боїтесь, що він може бути викрадений. Якщо ваші дані є настільки важливими, то, як тільки ви їх створите / придбаєте, видаліть їх на захищений запам'ятовуючий пристрій, відомий як зашифрований флеш-пристрій SD. Потім цей пристрій може бути з вами у будь-який час.

Сучасна комп'ютерна технологія не виявить фальсифікацію даних на фізичному пристрої зберігання даних. Саме ця відсутність захисту дозволяє технічним персоналам ПК, як я, врятувати дані користувачів у разі пошкодження вірусом / зловмисним програмним забезпеченням. Коли в майбутньому пристрої зберігання вбудовані запуститою програмою захисту, то сам пристрій дізнається, коли воно було підроблене.

Просто відповідально ставитесь до своїх даних! Якщо ви дозволите комусь доступ, то ви не можете поскаржитися, якщо він експлуатується!

Як пряма відповідь на розміщене запитання; на сьогоднішній день НІ, неможливо визначити, чи хтось видалив і просто скопіював ваші файли.

Дякую всім за прослуховування.

Багато нових комп'ютерів дозволяють захистити паролем сам жорсткий диск. Це було б налаштування BIOS. Захист забезпечується за допомогою електроніки накопичувача, тому доступ на іншій машині буде заборонено.

Майте на увазі, що шифрування, хоч і гарна ідея, якщо вам це потрібно зробити, також не дозволить вам відновитися після багатьох комп'ютерних проблем. І якщо жорсткий диск почав виходити з ладу, ви ніколи не зможете відновити свої файли з зашифрованого диска. Тому переконайтеся, що у вас є гарні резервні копії. А зображення диска зашифрованого диска все ще зашифроване і при необхідності може бути відновлено на новому диску.

Вбудована система Windows EFS (шифрувальна файлова система) може використовуватися для окремих файлів і папок. А безкоштовний інструмент шифрування Windows BitLocker може зашифрувати цілий диск.