Determinar se um disco rígido foi removido e os dados copiados dele?

O uso de deep freeze é irrelevante nesta situação.

Se eles forem semi competentes, eles usarão uma interface somente leitura.

O último registro de data e hora de acesso somente será alterado se eles estiverem usando uma interface de leitura e gravação. Desligar a interface de gravação é trivial. É isso que a perícia faz. Eles nunca colocam uma unidade original em uma interface de leitura / gravação. Sempre em uma só leitura. Então eles fazem uma cópia de trabalho. Tudo sem alterar um único bit na unidade original.

Sua melhor aposta é usar uma criptografia de disco como o Bitlocker ou o TrueCrypt.

edit:

thanks alot, but could you clarify more what you mean by read and write interface please??

Dispositivos como estes . . .

Eles bloqueiam fisicamente o acesso de gravação a uma unidade. Frequentemente usado em recuperação forense / HD por razões legais e práticas, como o caso Amanda Knox.

Todo mundo parece estar procurando por criptografia completa do disco, o que certamente tem seus méritos para proteger seus dados, mas não aborda a questão de saber se alguém está na sua máquina e monkeying com seu disco rígido.

Para essa tarefa simples, encontre um pacote de rótulos simples irritantemente pegajosos que, uma vez colados, rasgam em vez de sairem limpos, assine o seu nome e cole-o em um dos parafusos que prendem o seu disco rígido (não • esqueça de limpar a poeira primeiro para uma boa ligação). Não exatamente na mesma escala que os fabricantes, mas deve ser suficiente para impedir que alguém remova o disco rígido sem o seu conhecimento. Isso significa que eles precisam quebrar o rótulo que o alerta para o fato, ou puxar os fios para fora do disco rígido e montá-lo em um laptop, forçando-os a passar mais tempo com seu gabinete aberto parecendo muito suspeito!

Também vale a pena verificar a parte de trás do seu pc para um ponto de anexação de cadeado, simples, razoavelmente seguro e eficaz.

Nenhum dos dois torna impossível obter seus dados, mas ambos adicionam um nível significativo de inconveniência e forçam o atacante a agir abertamente (rasgando etiquetas e cortadores de parafusos no cadeado) ou gastando muito mais tempo fazendo monkeying com seu computador e risco de detecção.

Para descobrir adulterações em um nível físico , você pode usar algo como Vedação de torque no hardware de montagem do seu inversor ou na conexão do cabo de dados. É uma laca que seca frágil para que qualquer adulteração rompa e quebre a bolha que você instalou no hardware. É usado para garantir que coisas como porcas e parafusos em helicópteros não tenham se movido e ainda sejam torcidas para especificações.

S.M.A.R.T. atributos podem ajudar a determinar se o disco foi adulterado entre dois intervalos. Esses atributos, no Linux, podem ser consultados com "smartctl -a / dev / sda".

O atributo mais simples para isso é provavelmente Power_Cycle_Count. Quando você ligar o computador, este será um a mais do que o valor quando foi desligado pela última vez. Então, lembrando-se desse valor antes de desligar, e verificando quando você liga na próxima vez, você pode determinar se o disco foi ligado no meio.

Apenas um pensamento ... talvez S.M.A.R.T. (se disponível) contenha alguma informação que possa ser usada.

Agora o atacante é esperto, informado, ele tem tempo, equipamento e dinheiro? Um truque simples, que não funcionará, se o vilão estiver lendo aqui, seria colocar um fio, que é difícil de ver e fácil de quebrar, na sua unidade e no chassi, melhor: através do cabo de dados.

Agora, se alguém remover a unidade, ele quebrará o cabelo sem mencioná-lo. Exceto que ele leu esse conselho e age com muito cuidado.

Se ele está muito bem equipado, mas você também está, você pode pegar um cabelo no qual você faz um teste de DNA. Você não diz quem é o cabelo. O intruso pode substituir o cabelo por um aleatório, mas não pode substituí-lo por um fio de cabelo do DNA correto. Mas talvez ele saiba como colar um cabelo quebrado? Ou ele sabe como dissolver a cola? :)

A menos que você possa lembrar exatamente como as coisas foram colocadas no seu computador antes da suspeita de invasão (uma memória fotográfica ou uma fotografia, são duas dessas ferramentas que imediatamente vêm à mente), será muito difícil saber se drive foi removido do seu computador.

Observação: os recursos de invasão do chassi geralmente podem ser evitados, portanto, esse pode não ser o método mais confiável, embora possa ser útil.

É provável que um invasor que saiba como fazer isso também seja inteligente o bastante para não modificar seu disco de qualquer maneira, e copie apenas os arquivos que deseja / precise ou copie o disco inteiro para que eles possam "bisbilhotar" em seu lazer em algum momento posterior.

O ponto principal é que, se você está realmente preocupado com o acesso de alguém ao seu disco rígido, precisa ser preventivo. Se remover fisicamente o seu computador do perigo não for uma opção viável, a criptografia funciona muito bem; esta é a minha ferramenta de criptografia de disco favorita:

TrueCrypt (livre e de código aberto)
link

O que eu particularmente gosto nessa ferramenta é que não há backdoor embutido, então mesmo um mandado não a decifrará se você tomar as medidas certas para proteger a chave de criptografia.

Como essa ferramenta é relevante para sua situação:

Se o seu disco rígido estiver criptografado e o intruso o remover do computador com o objetivo de acessar seus dados, eles só encontrarão dados criptografados (e, inicialmente, o Sistema Operacional provavelmente o detectará como um "disco não inicializado" ") que simplesmente parece informação aleatória para quase todo mundo.

As duas maneiras pelas quais o intruso pode obter acesso aos seus dados são:

1. Um palpite de sorte "na sua senha (escolha uma boa que seja difícil de adivinhar, mesmo com uma ferramenta de ataque de força bruta) ou chave (altamente improvável, embora não completamente impossível )

2. Você forneceu uma cópia de sua senha ou chave para o invasor (intencionalmente ou não)

Com o seu computador doméstico médio (sem segurança física especial), quando a máquina é desligada, não há vestígios de atividades realizadas com o hardware.

Se o disco for removido e montado somente para leitura, seria muito difícil identificar isso usando qualquer software.

A única coisa que vem à mente é que, se o disco fosse gravável durante essa atividade, e o SO do host terminasse a atualização de timestamps no disco (arquivos, diretórios), você poderia detectar que o disco foi acessado fisicamente fora do seu sistema. Isto vem com várias outras advertências como, o outro sistema também teve seu tempo definido corretamente (uma expectativa razoável se o usuário não pensou em uma montagem somente de leitura) e você sabe a janela de tempo quando se esperava que seu sistema fosse alimentado para baixo (portanto, os tempos de acesso nessa janela são suspeitos).

Para que esses dados possam ser usados, você deve montar o disco sem acesso de gravação enquanto sua "análise forense" não for feita . Você pode então ser capaz de ler os tempos de acesso de arquivos e diretórios individuais para identificar o que foi olhado (lido ou copiado).

Agora, se isso for para uma possibilidade futura de roubo de dados, seria muito mais fácil planejar com antecedência - basta criptografar todos os seus dados críticos.

Não estamos nós simplesmente contornando a questão real aqui?

Como um recém-nascido, nunca devemos deixar nosso PC sozinho em uma área aberta e acessível! Onde está seu notebook agora? A segurança começa conosco e não depois do fato.

Dados pessoais vêm com um certo grau de paranoia. Se você deixá-lo em seu sistema, então você tem medo de que ele possa ser roubado. Se os seus dados são tão críticos, então, assim que você os criar / adquirir, remova-os para um dispositivo de armazenamento seguro, também conhecido como dispositivo flash SD criptografado. Este dispositivo pode estar com você em todos os momentos.

A atual tecnologia de computadores não detectará a adulteração dos dados em um dispositivo de armazenamento físico. É essa falta de segurança que permite que os técnicos de PC, como eu, salvem os dados do usuário em caso de danos por vírus / malware. Quando, no futuro, os dispositivos de armazenamento forem incorporados a um programa de segurança em execução, o próprio dispositivo saberá quando foi adulterado.

Simplesmente tome responsabilidade pelos seus dados! Se você permitir o acesso de alguém, não poderá reclamar se for explorado!

Como resposta direta à pergunta postada; a partir de hoje, NÃO, não é possível determinar se alguém removeu e simplesmente copiou seus arquivos.

Obrigado a todos por ouvirem.

Muitos computadores novos permitem a proteção de senha do próprio disco rígido. Seria uma configuração da BIOS. A proteção é aplicada através dos componentes eletrônicos da unidade, portanto, o acesso seria negado em outra máquina.

Tenha em mente que a criptografia, embora seja uma boa ideia se você precisar fazer isso, também impediria que você se recuperasse de muitos problemas no computador. E se o disco rígido começar a falhar, você nunca poderá recuperar seus arquivos de um disco criptografado. Portanto, certifique-se de ter bons backups. E uma imagem de disco de um disco criptografado ainda é criptografada e pode ser restaurada para uma nova unidade, se necessário.

O EFS (Sistema de arquivos com criptografia) do Windows pode ser usado para arquivos e pastas individuais. E a ferramenta gratuita de criptografia do Windows BitLocker pode criptografar uma unidade inteira.