有没有办法查明 PC 是否已被基于 USB 的操作系统访问?例如,文件是否已被复制?有问题的 PC 当时没有启动驱动器,但安装了数据驱动器。启动驱动器运行的是 Win 10 x64,系统使用的是常用的 NTFS 文件系统。文件上的时间戳会改变吗?或者有没有办法确定在重新安装启动驱动器之前驱动器是否已通电?
答案1
文件访问时间戳可能已被修改,但不要指望它。并非每个操作都会修改访问时间戳(例如,查询时间戳本身和相关元数据通常不会)。此外,试图掩盖其踪迹的人会将时间戳重置为其原始值(这很容易)。或者更简单的是,他们可以使用不更新访问时间戳的文件系统驱动程序(出于性能原因,有时这样做是合法的),或者将整个分区挂载为只读,或者在块设备级别克隆磁盘(从不从中挂载任何文件系统),然后检查克隆。
如果磁盘是专门安装在 Windows 中的,则可能会有显示活动的 Windows 访问日志(默认情况下,Windows 会记录很多内容 - 例如启动、登录等 - 可用于判断系统的使用时间)但这些日志通常存储在系统卷上,无论如何都可以通过一些努力进行覆盖。
那里可能有多种方法可以检查文件系统之外的数据以确定磁盘是否被使用。磁盘固件可能包含某种访问记录。磁盘可能有一些非易失性(闪存)缓存,这可能会揭示最近访问的内容(如果您可以直接读取缓存,则更容易,但这可能需要修改固件)。计算机取证专家可能还知道其他技术。但是,检查其中大部分内容并不容易,至少需要一些专用软件,并且可能需要非常昂贵的专用硬件。
从实际角度来看,您可能可以有信心地确定肯定的情况,但无法证明否定的情况。如果其他人可以物理访问您的硬盘,并且硬盘上的数据未加密,那么他们偷偷窃取数据要比您证明他们是否这样做容易得多。