我遇到过这样一种情况:某人从另一台电脑访问他们不应该访问的机密信息,并将获取的信息存储在自己的电脑上。
由于所有计算机都在我的管辖范围内,因此我要对任何信息泄露负责,而且由于我不知道该人是否会滥用这些信息,因此我可以复制/克隆/扣押他们的硬盘作为他们窃取了这些信息并将其存储在电脑上的证据他们是否应该尝试将这些信息出售给竞争对手?
我感兴趣的是:如果这些信息最终落入竞争对手手中,我肯定会知道他们这么做了,但我能证明吗通过显示原始驱动器位于他们的电脑内部?有没有线索可以将该硬盘与他的电脑联系起来例如主板/CPU 配置、用户名等,或者是否会因为我可以将该信息写入磁盘而被驳回?
答案1
抱歉,这确实无法证实。
当硬盘作为数据驱动器连接到计算机时,除非用户明确地将某些内容写入其中,否则不会向其中写入任何内容。即使用户确实向其中写入了内容,据我所知,没有哪个文件系统会在更改日志中记录任何类型的硬件特定信息。
如果计算机启动了驱动器,情况会略有不同。(前面有 Windows 特定的信息。)驱动程序安装已记录,但你只能猜测根据正在使用的驱动程序和 PnP ID,您可以确定驱动器位于哪种类型的机器中。可以想象 Windows 故障排除/遥测程序会记录硬件特定数据并将其写入磁盘,但无法证明它们是准确的。毕竟,您可以伪造磁盘上的数据(或者如果您聪明的话,可以摆弄数据收集器)。
即使看似包含特定于计算机的信息(例如注册表中的某些位置),实际上也只包含特定于操作系统安装的信息。计算机 SID 就是此类数据的一个很好的例子。
你可以编写一个程序,在机器启动时记录大量信息,如主板序列号和 MAC 地址,但同样,即使你确信驱动器在那里,你也不能毫无疑问地证明确保收集到的数据是真实的。