Se inicializar a partir de um live CD, as partições NTFS do disco rígido podem ser montadas em R / O (ou com o noatime para evitar a atualização dos tempos de acesso). A pessoa com o CD ao vivo também pode fazer uma cópia física da unidade ou de alguma partição para um disco externo para estudo adicional.
Impedindo a inicialização de USB no BIOS (supondo que o BIOS seja protegido por senha) em apenas parte da resposta: se o PC puder ser aberto, o disco pode ser removido e inserido em um conversor SATA-USB conectado a outro PC.
Assim, um invasor experiente não deixará pistas visíveis no próprio sistema de arquivos.
Se o acesso físico for possível, a única maneira real de proteger o conteúdo do disco de bisbilhotar ou adulterar é criptografá-lo.
Agora, se o disco for recente, ele normalmente suporta diagnósticos SMART (discos que não os suportam normalmente estão fora de comissionamento agora ou sua empresa é muito, muito ruim), e os diagnósticos SMART incluem alguns dados estatísticos que só podem aumentar com o uso (tempo de ativação, contagem de ciclo de energia ...) e uma vez que requer um mecanismo muito caro para ler seu conteúdo do disco sem ligá-lo, um snooper sempre aumentaria esses valores. Portanto, usando um utilitário SMART diags, você pode anotar essas informações antes de desligá-las e verificá-las novamente logo após a inicialização e descobrir se a diferença só pode ser explicada por atividade estranha.