我想知道是否将数据从系统磁盘上传到文件共享在线服务,但似乎系统会记录这些数据,并且可以通过该网站的 cookie 进行追踪。
如果要将文件从系统磁盘复制到便携式磁盘,情况是否相同?我很难想象系统会记录从磁盘读取的每个文件?我想很明显插入了一个设备,没有其他东西可以显示复制的内容,等等。
是否有一种万无一失的方法来实现这一点,如果有人检查系统,他们将无法验证某些文件是否已被复制?
编辑:一些跟踪复制文件行为的方法:
答案1
您具体查看了哪些日志?
一些文件系统会记录上次访问的时间,但是这可以避免(例如对于 Windows,请参见http://msdn.microsoft.com/en-us/library/ms724933.aspxlpLastAccessTime 字段非常重要(参见 lpLastAccessTime 字段和 lpLastAccessTime 字段),而对于经常访问的数据来说,这并不重要。
至于 cookie,上传文件时实际上并不需要 cookie(它只是实际服务的实现),即使需要 cookie,您也可以从 Web 浏览器中清除它们,甚至可以不在系统上使用 Web 浏览器。当然,您无法完全隐藏网络流量,在端口 443 上发送大量数据的 TLS 连接仍然看起来像是上传而不是正常的 Web 流量,即使加密可以防止网络设备知道它是什么(至少除了我见过的一些可疑的东西,比如本质上设置中间人攻击并让所有系统信任通配符证书,这样他们就不会警告用户),只是知道该连接的端点是什么。
然而,在人们有意保护文件的环境中,完全访问日志记录当然是可能的,并且本质上不能被破坏(至少不能由可以干扰系统配置的非 root 用户破坏,或者使用一些更间接的文件访问方法)。
此外,按访问病毒扫描程序可能会保留其扫描的所有内容的日志,即使它是干净的,并且不确定它们是否会注意到访问是否复制到便携式设备。
当然,如果您可以物理访问系统,问题就会变得非常简单。因为您可以将系统引导到另一个操作系统(例如 CD 或 USB 上的 Linux),或将硬盘连接到另一个系统(我从未尝试绕过 BIOS 保护,但我相信可以防止在没有密码的情况下引导到另一个操作系统)。但是您重新启动系统的事实会被知道。另一种保护方法是加密磁盘上的文件(甚至整个磁盘)。
答案2
Windows 具有审计功能,可以记录特定驱动器或目录上的每个文件访问,甚至所有文件访问。默认情况下不启用此功能。某些企业环境不启用此功能,因为它会影响性能。
USB 大容量存储设备在首次连接时会被记录在某处 - Belarc Advisor 是一个可以检索和报告此类信息的实用程序。
最稳妥的方法是启动某种实时 Linux CD 并执行复制,完全不涉及底层操作系统。理想情况下,您应该将分区挂载为只读,以确保卷上没有任何修改。