Usando o terminal, você pode verificar quando a última vez que o arquivo de vídeo foi acessado, se ele é posterior à última vez que você o acessou, há uma chance de ele ter copiado o mesmo. É claro que, se você acessou o arquivo desde então, ou não consegue se lembrar de quando o acessou pela última vez, isso não será muito útil. Por acesso, quero dizer copiar, reproduzir ou mover o arquivo.
No terminal, use o comando:
stat /path/to/video
Você obterá a saída no seguinte formato:
$ stat file
File: â?~fileâ?T
Size: 435 Blocks: 8 IO Block: 4096 regular file
Device: 801h/2049d Inode: 262181 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2016-09-12 10:30:01.186634836 +0100
Modify: 2015-10-13 15:18:11.669085522 +0100
Change: 2015-10-13 15:18:11.669085522 +0100
Birth: -
As informações após a linha Access: informam quando foi acessado pela última vez.
Esse método certamente não é infalível, o tempo de acesso para o arquivo pode ser falsificado ou a hora do sistema pode ser alterada pela duração do acesso ao arquivo e redefinida para a hora correta. Tudo depende do nível de habilidade do usuário que está tentando copiar seu vídeo. Eles podem não ter se incomodado se iriam chantageá-lo de qualquer maneira, mas não há como discernir essa informação. É muito difícil rastrear o acesso a arquivos sem ter instalado anteriormente um IDS (Intrusion Detection System), como snort ou tripwire.