A inicialização de uma distribuição Linux ao vivo deixa qualquer rastreio em um disco rígido do Windows que é montado?

1

Antecedentes: no trabalho, tenho um PC com Windows 7, onde só tenho privilégios normais de usuário. O PC pode arrancar a partir do CD o USB. Eu suspeito que um de meus colegas é, de tempos em tempos, inicializando meu PC com uma distribuição ao vivo do Linux, montando o disco do Windows e copiando e ocasionalmente excluindo arquivos dele (do meu diretório de usuário), mas Eu não tenho provas.

Isso me ajudaria se eu pudesse de alguma forma provar que alguém está mexendo com isso, mas eu não tenho idéia de como fazer isso. Algo como mostrar um log de inicialização, ou o acesso aos arquivos em algum momento eu não estou presente seria suficiente.

Existe alguma maneira de conseguir isso, ou a inicialização de um Linux ao vivo não traz rastros?

EDIT: com base nos comentários postados:

  • Meu conhecimento de computadores é bastante básico
  • A hibernação e a suspensão estão desativadas e não posso alterar isso
  • Não posso relatar ao departamento de TI ou ao nosso chefe sem "alguma coisa" para mostrá-los; minhas suspeitas não são motivo suficiente
por Leonardo 15.02.2018 / 12:51

1 resposta

3

Se inicializar a partir de um live CD, as partições NTFS do disco rígido podem ser montadas em R / O (ou com o noatime para evitar a atualização dos tempos de acesso). A pessoa com o CD ao vivo também pode fazer uma cópia física da unidade ou de alguma partição para um disco externo para estudo adicional.

Impedindo a inicialização de USB no BIOS (supondo que o BIOS seja protegido por senha) em apenas parte da resposta: se o PC puder ser aberto, o disco pode ser removido e inserido em um conversor SATA-USB conectado a outro PC.

Assim, um invasor experiente não deixará pistas visíveis no próprio sistema de arquivos.

Se o acesso físico for possível, a única maneira real de proteger o conteúdo do disco de bisbilhotar ou adulterar é criptografá-lo.

Agora, se o disco for recente, ele normalmente suporta diagnósticos SMART (discos que não os suportam normalmente estão fora de comissionamento agora ou sua empresa é muito, muito ruim), e os diagnósticos SMART incluem alguns dados estatísticos que só podem aumentar com o uso (tempo de ativação, contagem de ciclo de energia ...) e uma vez que requer um mecanismo muito caro para ler seu conteúdo do disco sem ligá-lo, um snooper sempre aumentaria esses valores. Portanto, usando um utilitário SMART diags, você pode anotar essas informações antes de desligá-las e verificá-las novamente logo após a inicialização e descobrir se a diferença só pode ser explicada por atividade estranha.

    
por 15.02.2018 / 15:12