背景:在工作中,我有一台 Windows 7 PC,我只有普通用户权限。该 PC 可以从 CD 或 USB 启动。我怀疑我的一位同事不时地用 Linux 实时发行版启动我的电脑,安装 Windows 磁盘并从中复制文件(从我的用户目录中),有时还会删除文件,但我没有证据。
如果我能以某种方式证明有人篡改了它,那将对我有所帮助,但我不知道该怎么做。比如显示启动日志,或者在我不在场时访问文件就足够了。
有什么办法可以实现这一点吗,或者从实时 Linux 启动不会留下痕迹?
编辑:根据发表的评论:
- 我对计算机的了解相当基础
- 休眠和暂停功能已禁用,我无法更改
- 如果没有“东西”可以向 IT 部门或老板展示,我就不能向他们报告;我的怀疑并不是充分的理由
答案1
如果从 Live CD 启动,硬盘的 NTFS 分区可以以 R/O 方式挂载(或使用 以noatime避免更新访问时间)。拥有 Live CD 的人还可以将驱动器或某些分区的物理副本复制到外部磁盘以供进一步研究。
在 BIOS 中防止从 USB 启动(假设 BIOS 有密码保护)只是答案的一部分:如果可以打开 PC,则可以取出磁盘并插入连接到另一台 PC 的 SATA 转 USB 转换器中。
因此,有知识的攻击者不会在文件系统本身留下明显的线索。
如果可以进行物理访问,那么保护磁盘内容不被窥探或篡改的唯一真正方法就是对其进行加密。
现在,如果磁盘是最近的,它通常支持智能诊断(不支持这些功能的磁盘通常现在已经无法使用,或者您的公司非常非常贫穷),SMART 诊断程序包含一些统计数据,这些数据只能随着使用量而增加(开机时间、电源循环次数……),而且由于读取磁盘内容需要非常昂贵的机器,而无需开机,因此窥探者总是会增加这些值。因此,使用 SMART 诊断实用程序,您可以在关机前记下这些值,并在启动后立即再次检查它们,并确定差异是否只能由无关活动来解释。