Meu amigo me pediu alguns arquivos que eu deixei que ele tirasse do meu sistema. Eu não vi ele fazendo isso. Então fiquei com uma dúvida: que arquivos ou dados extras ele tirou do meu sistema?
Eu estava pensando em qualquer aplicativo ou method que mostra o que os dados são copiados para qual USB (se o nome disponível mostrar o nome ou caso contrário, o id do dispositivo) e quais dados estão sendo copiados para a máquina do Ubuntu .
É como a história dos dados do USB e do sistema. Eu acho que esse recurso existe em KDE
Isso será realmente útil de várias maneiras. Ele fornece tempo real e utilitário de monitoramento para monitorar atividades de dispositivos de armazenamento em massa USB em qualquer máquina.
Parece que inotifywatch pode fazer o trabalho. Consulte o documento IBM que faço referência no comentário acima para obter mais informações e sua página de manual .
Para instalar:
apt-cache search inotify
Você pode fazer isso:
1) Verifique os arquivos: /var/log/kern.log e /var/log/kern.log.1 e pesquise a hora e a data em que seu amigo conectou o armazenamento em massa usb. Por exemplo, o meu diz:
Apr 9 13:41:37 desguai7 kernel: [16788.372616] USB Mass Storage support registered. Apr 9 13:41:38 desguai7 kernel: [16789.370861] scsi 6:0:0:0: Direct-Access SanDisk Cruzer Blade 1.20 PQ: 0 ANSI: 5 Apr 9 13:41:38 desguai7 kernel: [16789.386614] sd 6:0:0:0: Attached scsi generic sg2 type 0 Apr 9 13:41:38 desguai7 kernel: [16789.390966] sd 6:0:0:0: [sdb] 15633408 512-byte logical blocks: (8.00 GB/7.45 GiB) Apr 9 13:41:38 desguai7 kernel: [16789.392246] sd 6:0:0:0: [sdb] Write Protect is off Apr 9 13:41:38 desguai7 kernel: [16789.392258] sd 6:0:0:0: [sdb] Mode Sense: 43 00 00 00 Apr 9 13:41:38 desguai7 kernel: [16789.392980] sd 6:0:0:0: [sdb] Write cache: disabled, read cache: enabled, doesn't support DPO or FUA Apr 9 13:41:38 desguai7 kernel: [16789.401326] sdb: sdb1 Apr 9 13:41:38 desguai7 kernel: [16789.404486] sd 6:0:0:0: [sdb] Attached SCSI removable disk
Então, 9 de abril, às 13:41 (1:41 da tarde), um armazenamento em massa USB foi registrado (conectado) em meu computador.
2) Agora vamos ver a última vez que alguns arquivos são acessados e procurar por datas correspondentes. Abra um terminal e cole isto:
find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"
Você será presenteado com os nomes dos arquivos que foram acessados no momento em que o armazenamento em massa usb foi conectado.
Um pequeno truque:
Você pode usar caracteres curinga com o grep, como alterar grep "2012-04-09 13:41" para grep "2012-04-09 13:4[1234]" para obter todos os arquivos acessados das 13:41 às 13:44.
ps: Não funcionará se você acessou o arquivo depois do seu amigo.
Acredite em mim, filho, um bom hábito vale uma tonelada de software (e muito mais confiável, de fato). Não empreste sua sessão a ninguém. Basta copiar os arquivos que você solicitou e se sentir bem.
ps Não há software de segurança suficientemente bom para pessoas inseguras.
Após meia hora procurando na internet por uma solução (que eu gostaria de encontrar também) eu não encontrei um software para fazer isso, mas isso pode ser uma alternativa: link
Ele monitora a E / S de um sistema de arquivos, com alguns "grep" que você pode mostrar os dados que está procurando?
wireshark é capaz de monitorar todos dados transferidos via USB. Embora este aplicativo seja usado principalmente para monitorar a transferência de rede, ele também permite capturar pacotes USB. Observe que dessa forma você não obterá apenas uma lista de arquivos, mas uma representação de byte a byte da conversação completa entre o computador e a unidade. No entanto, desta forma você pode ter certeza de que nada fica escondido de você!