+1, Удивлен, никто еще не проголосовал за это, это отличный вопрос.
Моав
Ответы:
13
Если они сделали это судебно-правильным способом, то НЕТ СПОСОБА определить, что было исследовано. Правильным способом для криминалистов было бы вытащить жесткий диск, клонировать его, вернуть жесткий диск в машину и затем изучить образ клона. На диске не останется никаких следов, поскольку он никогда не загружался. Они будут работать строго по образу клона, и вы должны рассматривать все на жестком диске как скомпрометированное, и вы также должны знать, что они могли сохранить изображение или его части. Надеюсь, у вас там ничего не было, вы пожалеете.
В самом деле, вы должны предположить, что они видели все. (Возможно, включая файлы, которые вы удалили.) Просто
поверьте,
5
Еще одна причина для шифрования всего диска с использованием Trucrypt.
Моав
4
Что касается TrueCrypt, то да, это должно помочь. Но если злоумышленник выделен, он также может установить модифицированный загрузчик TrueCrypt, который сохранит введенный пароль, а затем отправить его на свой сервер. Если у них есть время разобрать ваш ноутбук, они могут даже установить аппаратный кейлоггер. Будь параноиком, будь очень параноиком
Мартин Кахья Пауло
2
@typoknig: Чистое грубое применение хорошо реализованного надежного шифрования займет годы. Однако, если позже обнаружится слабость, атака может быть произведена в более короткий период времени. На данный момент, я считаю, что кейлоггинг, аппаратное и программное обеспечение было бы проще
Мартин Кахья Пауло
2
@Martheen Cahya Paulo Я согласен, что это может занять годы, но это действительно зависит от уровня шифрования. TrueCrypt позволяет шифрование до 256 бит, я полагаю, что расшифровка может занять очень много времени (лет), но шифрование <128 бит может занять только недели или месяцы (основываясь на моем опыте с шифрованием AES, используемым в сетях WiFi ).
убиквибакон
2
Вы можете использовать скрипт для рекурсивной сортировки файлов в системе по времени последнего доступа. Однако, поскольку все действия в файловой системе постоянно происходят, например, индексация, почти невозможно точно определить, на что они смотрели.
Установите его и запустите программу и дождитесь индексации диска (это займет не более минуты)
Рихт-клик по заголовкам столбцов (где написано «дата изменения») и включите «Последний доступ»
Теперь ищите что-то случайное, например windows
Нажмите на новый заголовок столбца «Последний доступ», чтобы отсортировать результаты поиска, чтобы последние были сверху.
Удалите свой старый поиск и выполните поиск *.*. Это займет много времени, особенно если вы впервые используете Все; это может занять до 10 минут, я не знаю, как долго: это зависит от вашего ПК; просто продолжай ждать, мне понадобилось 3 минуты на этом старомодном ПК
Теперь у вас есть список всех файлов на вашем компьютере, перечисленных по времени их последнего доступа, с датами и временем.
Обратите внимание, что Windows также получает доступ к некоторым файлам, когда компьютер включен без внешнего вывода, поэтому вы не можете быть уверены, что именно они получили доступ к файлу.
Ответы:
Если они сделали это судебно-правильным способом, то НЕТ СПОСОБА определить, что было исследовано. Правильным способом для криминалистов было бы вытащить жесткий диск, клонировать его, вернуть жесткий диск в машину и затем изучить образ клона. На диске не останется никаких следов, поскольку он никогда не загружался. Они будут работать строго по образу клона, и вы должны рассматривать все на жестком диске как скомпрометированное, и вы также должны знать, что они могли сохранить изображение или его части. Надеюсь, у вас там ничего не было, вы пожалеете.
источник
Вы можете использовать скрипт для рекурсивной сортировки файлов в системе по времени последнего доступа. Однако, поскольку все действия в файловой системе постоянно происходят, например, индексация, почти невозможно точно определить, на что они смотрели.
источник
Насколько я знаю, самый быстрый способ просмотреть время последнего доступа к вашим файлам:
Скачать инструмент поиска Все: http://www.voidtools.com/
Установите его и запустите программу и дождитесь индексации диска (это займет не более минуты)
Рихт-клик по заголовкам столбцов (где написано «дата изменения») и включите «Последний доступ»
Теперь ищите что-то случайное, например
windows
Нажмите на новый заголовок столбца «Последний доступ», чтобы отсортировать результаты поиска, чтобы последние были сверху.
Удалите свой старый поиск и выполните поиск
*.*
. Это займет много времени, особенно если вы впервые используете Все; это может занять до 10 минут, я не знаю, как долго: это зависит от вашего ПК; просто продолжай ждать, мне понадобилось 3 минуты на этом старомодном ПКТеперь у вас есть список всех файлов на вашем компьютере, перечисленных по времени их последнего доступа, с датами и временем.
Обратите внимание, что Windows также получает доступ к некоторым файлам, когда компьютер включен без внешнего вывода, поэтому вы не можете быть уверены, что именно они получили доступ к файлу.
источник