我的朋友向我要了一些我允许他从我的系统中拿走的文件。我没看到他这么做。然后我就产生了一个疑问:他从我的系统中拿走了哪些额外的文件或数据?
我在想这里有应用或者方法这表明了什么数据复制到哪个 USB(如果名称可用则显示名称,否则显示设备 ID)和哪些数据正在被复制到 Ubuntu 机器。它有点像 USB 和系统数据的历史记录。我认为此功能存在于KDE
这在很多方面都非常有用。它提供实时监控实用程序来监控任何机器上的 USB 大容量存储设备活动。
答案1
看起来inotifywatch可以完成这项工作。请参阅我在上面的评论中引用的 IBM 文档了解更多信息和它的手册页。 安装:
apt-cache search inotify
- inotifywait-使用 inotify 等待文件更改
- inotifywatch - 使用 inotify 收集文件系统访问统计信息
答案2
你可以这样做:
1) 检查文件:/var/log/kern.log并/var/log/kern.log.1搜索您的朋友连接 USB 大容量存储的时间和日期。例如,我的显示为:
4 月 9 日 13:41:37 desguai7 内核:[16788.372616] 已注册 USB 大容量存储支持。 4月9日 13:41:38 desguai7 内核:[16789.370861] scsi 6:0:0:0: 直接访问 SanDisk Cruzer Blade 1.20 PQ: 0 ANSI: 5 4月9日 13:41:38 desguai7 内核:[16789.386614] sd 6:0:0:0:已连接 scsi 通用 sg2 类型 0 4月9日 13:41:38 desguai7 内核:[16789.390966] sd 6:0:0:0:[sdb] 15633408 512 字节逻辑块:(8.00 GB/7.45 GiB) 4月9日 13:41:38 desguai7 内核:[16789.392246] sd 6:0:0:0: [sdb] 写保护已关闭 4月9日 13:41:38 desguai7 内核:[16789.392258] sd 6:0:0:0:[sdb] 模式感知:43 00 00 00 4 月 9 日 13:41:38 desguai7 内核:[16789.392980] sd 6:0:0:0:[sdb] 写入缓存:已禁用,读取缓存:已启用,不支持 DPO 或 FUA 4月9日 13:41:38 desguai7 内核:[16789.401326] sdb:sdb1 4月9日 13:41:38 desguai7 内核:[16789.404486] sd 6:0:0:0:[sdb] 连接的 SCSI 可移动磁盘
因此,4 月 9 日 13:41(下午 1:41),一个 USB 大容量存储器在我的计算机上注册(连接)。
2) 现在让我们查看一些文件上次被访问的时间并搜索匹配的日期。打开终端并粘贴以下内容:
find ~/the/folder/noone/should/have/looked/ -exec stat -c %n%x "{}" \; | grep "2012-04-09 13:41"
您将看到连接 USB 大容量存储器时访问的文件名。
一个小技巧:
您可以在 grep 中使用通配符,例如更改grep "2012-04-09 13:41"forgrep "2012-04-09 13:4[1234]"以获取从 13:41 到 13:44 访问的所有文件。
附言:如果您在朋友之后访问该文件,则它将不起作用。
答案3
相信我,儿子,一个好习惯胜过一大堆软件(而且确实更可靠)。不要将您的会话借给任何人。只需复制您自己要求的文件并感觉良好即可。
附言:对于没有安全感的人来说,没有足够好的安全软件。
答案4
wireshark能够监控全部通过 USB 传输的数据。虽然此应用程序主要用于监控网络传输,但它也允许您捕获 USB 数据包。请注意,这样您获得的不仅仅是文件列表,而是计算机与驱动器之间完整对话的逐字节表示。但是,这样您就可以完全确保没有任何东西对您隐藏!