Xác định nếu một đĩa cứng đã được gỡ bỏ và dữ liệu được sao chép từ nó?

Có phương pháp hay công cụ nào có thể phát hiện nếu ai đó đã tách đĩa cứng của tôi khỏi máy tính của tôi, sao chép dữ liệu từ nó và trả lại không?

Tôi muốn chắc chắn rằng không ai đã làm điều này mà tôi không biết, nhưng tôi không chắc làm thế nào để làm điều này.

• Lưu ý: Tôi sử dụng Deep freeze.

Việc sử dụng đóng băng sâu là không liên quan trong tình huống này.

Nếu họ là người có thẩm quyền, họ sẽ sử dụng giao diện chỉ đọc.

Dấu thời gian truy cập cuối cùng sẽ chỉ được thay đổi nếu họ đang sử dụng giao diện đọc và ghi. Tắt giao diện ghi là chuyện nhỏ. Đây là những gì pháp y làm. Họ không bao giờ đặt một ổ đĩa gốc trong giao diện đọc / ghi. Luôn luôn trong một chỉ đọc. Sau đó, họ làm một bản sao làm việc. Tất cả mà không thay đổi một bit trên ổ đĩa gốc.

Đặt cược tốt nhất của bạn là sử dụng mã hóa đĩa như Bitlocker hoặc TrueCrypt.

chỉnh sửa:

cảm ơn rất nhiều, nhưng bạn có thể làm rõ hơn những gì bạn muốn nói bằng cách đọc và viết giao diện không ??

Các thiết bị như thế này . . .

Họ vật lý chặn truy cập ghi vào một ổ đĩa. Thường được sử dụng trong phục hồi pháp y / HD vì lý do thực tế và hợp pháp, như trường hợp Amanda Knox.

Mọi người dường như sẽ mã hóa toàn bộ đĩa, điều này chắc chắn có giá trị bảo mật dữ liệu của bạn nhưng không giải quyết được câu hỏi liệu có ai đó đang ở trong máy của bạn và đánh lừa ổ cứng của bạn không.

Đối với nhiệm vụ đơn giản đó, hãy tìm một gói nhãn trơn dính khó chịu, một khi bị kẹt, rách thay vì thoát ra một cách sạch sẽ, hãy ký tên của bạn trên đó và dán nó lên một trong các ốc vít giữ hdd của bạn (đừng quên làm sạch bụi trước để có một liên kết tốt). Không hoàn toàn trên cùng một quy mô như các nhà sản xuất giả mạo con dấu rõ ràng nhưng nên chứng minh đủ để ngăn chặn bất cứ ai tháo ổ cứng mà bạn không biết. Điều này có nghĩa là họ phải phá vỡ nhãn cảnh báo cho bạn về thực tế hoặc rút dây ra khỏi ổ cứng sau đó gắn nó vào máy tính xách tay, buộc họ phải dành nhiều thời gian hơn cho trường hợp của bạn mở trông rất đáng ngờ!

Cũng đáng để kiểm tra mặt sau của máy tính của bạn để biết điểm đính kèm ổ khóa, đơn giản, khá an toàn và hiệu quả.

Không thể lấy dữ liệu của bạn nhưng cả hai đều gây ra sự bất tiện đáng kể và buộc kẻ tấn công phải hành động một cách công khai (xé nhãn và cắt chốt vào ổ khóa) hoặc mất nhiều thời gian hơn với máy tính của bạn và có nguy cơ bị phát hiện .

Để khám phá sự giả mạo ở mức vật lý , bạn có thể sử dụng một cái gì đó như Torque Seal trên phần cứng gắn ổ đĩa của bạn hoặc kết nối cáp dữ liệu. Nó là một sơn mài khô giòn vì vậy bất kỳ sự giả mạo nào sẽ phá vỡ và phá vỡ toàn cầu bạn đã cài đặt trên phần cứng. Nó được sử dụng để đảm bảo những thứ như đai ốc và bu lông trên máy bay trực thăng không bị di chuyển và vẫn bị xáo trộn.

Các thuộc tính SMART có thể giúp xác định xem đĩa có bị giả mạo giữa hai khoảng thời gian không. Các thuộc tính này, trên Linux, có thể được truy vấn bằng "smartctl -a / dev / sda".

Thuộc tính đơn giản nhất có lẽ là Power_Cycle_Count. Khi bạn cấp nguồn cho máy tính, giá trị này sẽ cao hơn một lần so với giá trị khi nó được tắt lần cuối. Vì vậy, bằng cách ghi nhớ giá trị này trước khi tắt máy và kiểm tra nó khi bạn bật nguồn lần sau, bạn có thể xác định xem đĩa có được cấp nguồn ở giữa không.

Chỉ cần một suy nghĩ..maybe SMART (nếu có) chứa một số thông tin có thể được sử dụng.

Tôi bi quan về việc ngăn chặn việc đọc ổ đĩa và nói, nếu có ai đó làm vậy, tôi cũng khuyên bạn nên sử dụng mã hóa. Bạn vẫn không biết liệu ai đó đã sao chép dữ liệu được mã hóa hay không, nhưng nếu anh ta làm vậy, thật khó để phá vỡ (hy vọng vậy).

Bây giờ là kẻ tấn công thông minh, thông báo, anh ta có thời gian, thiết bị và tiền bạc không? Một mẹo đơn giản, sẽ không hiệu quả, nếu kẻ xấu đang đọc ở đây, sẽ là dính một sợi tóc, rất khó nhìn, và dễ gãy, vào ổ đĩa và khung của bạn, tốt nhất: qua cáp dữ liệu.

Bây giờ nếu ai đó tháo ổ đĩa, anh ta sẽ làm gãy tóc mà không đề cập đến nó. Ngoại trừ anh ta đọc lời khuyên này, và hành động rất cẩn thận.

Nếu anh ta được trang bị rất tốt, nhưng bạn cũng vậy, bạn có thể lấy một sợi tóc mà bạn thực hiện xét nghiệm DNA. Bạn không nói nó là tóc. Kẻ xâm nhập có thể thay thế tóc bằng một cái ngẫu nhiên, nhưng không thể thay thế nó bằng tóc của DNA bên phải. Nhưng có lẽ anh ấy biết làm thế nào để dán một mái tóc gãy với nhau? Hoặc anh ấy biết làm thế nào để hòa tan keo? :)

Trừ khi bạn có thể nhớ chính xác cách mọi thứ được đặt trong máy tính của bạn trước khi bị nghi ngờ xâm nhập (bộ nhớ ảnh hoặc ảnh, là hai công cụ như vậy xuất hiện ngay lập tức), sẽ rất khó để biết liệu ổ cứng của bạn có bị xóa không Từ máy tính của bạn.

Lưu ý: Các tính năng xâm nhập khung gầm thường có thể bị phá vỡ, vì vậy đây có thể không phải là phương pháp đáng tin cậy nhất mặc dù nó có thể hữu ích.

Rất có thể kẻ xâm nhập biết cách thực hiện điều này cũng có thể đủ thông minh để không sửa đổi đĩa của bạn theo bất kỳ cách nào và chỉ sao chép toàn bộ tệp mà chúng muốn / cần hoặc sao chép toàn bộ đĩa để chúng có thể "rình mò "Lúc rảnh rỗi vào lúc nào đó.

Điểm mấu chốt là nếu bạn thực sự lo lắng về việc ai đó truy cập vào ổ cứng của mình, bạn phải phòng ngừa. Nếu loại bỏ vật lý máy tính của bạn khỏi nguy hiểm không phải là một lựa chọn khả thi, thì mã hóa hoạt động rất tốt; đây là công cụ mã hóa đĩa yêu thích của tôi:

  TrueCrypt (mã nguồn mở và miễn phí)
  http://www.truecrypt.org/

Điều tôi đặc biệt thích về công cụ này là không có cửa hậu tích hợp, do đó, ngay cả lệnh của tòa án cũng sẽ không được giải mã nếu bạn thực hiện đúng các bước để bảo vệ khóa mã hóa.

Làm thế nào công cụ này có liên quan đến tình huống của bạn:

Nếu ổ cứng của bạn được mã hóa và kẻ xâm nhập sẽ xóa nó khỏi máy tính của bạn nhằm mục đích truy cập dữ liệu của bạn, họ sẽ chỉ tìm thấy dữ liệu được mã hóa (và, ban đầu, Hệ điều hành rất có thể sẽ phát hiện ra đó là "đĩa chưa được khởi tạo") chỉ đơn giản là trông giống như thông tin ngẫu nhiên cho tất cả mọi người.

Hai cách mà kẻ xâm nhập có thể có quyền truy cập vào dữ liệu của bạn là:

1. Một " dự đoán may mắn " trong mật khẩu của bạn (vì vậy hãy chọn một mật khẩu khó đoán, ngay cả với một công cụ tấn công vũ phu) hoặc khóa (rất khó xảy ra, mặc dù không hoàn toàn không thể)

2. Bạn đã cung cấp một bản sao mật khẩu hoặc khóa của bạn cho kẻ xâm nhập (cố ý hoặc vô ý)

Với máy tính gia đình trung bình của bạn (không có bảo mật vật lý đặc biệt), khi máy bị tắt, không còn dấu vết nào của các hoạt động được thực hiện với phần cứng.

Nếu đĩa được gỡ bỏ và gắn ở chế độ chỉ đọc, sẽ rất khó để xác định điều này đã được thực hiện bằng bất kỳ phần mềm nào.

Điều duy nhất bạn nghĩ đến là, nếu đĩa có thể ghi được trong một hoạt động như vậy và HĐH máy chủ đã kết thúc việc cập nhật dấu thời gian trên đĩa (tệp, thư mục), bạn có thể phát hiện ra rằng đĩa đã được truy cập bên ngoài hệ thống của bạn . Điều này đi kèm với nhiều cảnh báo khác như, hệ thống khác cũng có thời gian được đặt chính xác (một kỳ vọng hợp lý nếu người dùng không nghĩ đến việc gắn kết chỉ đọc) và bạn biết cửa sổ thời gian khi hệ thống của bạn được cung cấp năng lượng- xuống (do đó, thời gian truy cập trong cửa sổ đó là nghi ngờ).

Để dữ liệu đó có thể sử dụng được, bạn phải gắn đĩa mà không cần truy cập ghi trong khi 'pháp y' của bạn không được thực hiện . Sau đó, bạn có thể đọc thời gian truy cập của các tệp và thư mục riêng lẻ để xác định nội dung đã xem (đọc hoặc sao chép).

Bây giờ, nếu điều này là cho khả năng đánh cắp dữ liệu trong tương lai, việc lập kế hoạch trước sẽ dễ dàng hơn rất nhiều - chỉ cần mã hóa tất cả dữ liệu quan trọng của bạn.

Có phải chúng ta không chỉ đơn giản là bỏ qua vấn đề thực sự ở đây?

Giống như một đứa trẻ mới chào đời, chúng ta KHÔNG BAO GIỜ để máy tính của mình một mình trong một khu vực có thể truy cập mở! Máy tính xách tay của bạn bây giờ ở đâu? An ninh bắt đầu với chúng tôi và không phải sau khi thực tế.

Dữ liệu cá nhân đi kèm với một mức độ hoang tưởng. Nếu bạn để nó trên hệ thống của bạn thì bạn sợ rằng nó có thể bị đánh cắp. Nếu dữ liệu của bạn rất quan trọng, thì ngay khi bạn tạo / thu thập nó, hãy xóa dữ liệu đó sang một thiết bị lưu trữ an toàn, còn gọi là thiết bị flash SD được mã hóa. Thiết bị này sau đó có thể ở bên bạn mọi lúc.

Công nghệ máy tính hiện tại sẽ không phát hiện việc giả mạo dữ liệu trên thiết bị lưu trữ vật lý. Chính sự thiếu bảo mật này đã cho phép các kỹ thuật viên PC như tôi tự cứu lấy dữ liệu người dùng trong trường hợp bị hỏng virus / phần mềm độc hại. Khi trong tương lai các thiết bị lưu trữ được nhúng với chương trình bảo mật đang chạy, thì chính thiết bị sẽ biết khi nào nó bị giả mạo.

Đơn giản chỉ cần có trách nhiệm cho dữ liệu của bạn! Nếu bạn cho phép ai đó truy cập, thì bạn không thể khiếu nại nếu nó bị khai thác!

Như một câu trả lời trực tiếp cho câu hỏi được đăng; cho đến ngày hôm nay, KHÔNG, không thể xác định xem ai đó đã xóa và chỉ sao chép các tệp của bạn.

Cảm ơn mọi người đã lắng nghe.

Nhiều máy tính mới cho phép tự bảo vệ mật khẩu ổ cứng. Nó sẽ là một thiết lập BIOS. Việc bảo vệ được thực thi thông qua các thiết bị điện tử của ổ đĩa, vì vậy quyền truy cập sẽ bị từ chối trên một máy khác.

Hãy nhớ rằng mã hóa, mặc dù một ý tưởng tốt nếu bạn cần thực hiện, cũng sẽ khiến bạn không thể phục hồi sau nhiều sự cố máy tính. Và nếu ổ cứng bắt đầu bị lỗi, bạn không bao giờ có thể khôi phục các tệp của mình từ đĩa được mã hóa. Vì vậy, hãy chắc chắn rằng bạn có bản sao lưu tốt. Và một hình ảnh đĩa của một đĩa được mã hóa vẫn được mã hóa và có thể được khôi phục vào một ổ đĩa mới nếu cần thiết.

EFS tích hợp (Hệ thống tệp mã hóa) có thể được sử dụng cho các tệp và thư mục riêng lẻ. Và công cụ mã hóa Windows BitLocker miễn phí có thể mã hóa toàn bộ ổ đĩa.