+1, Surpreso, ninguém votou ainda, é uma ótima pergunta.
Moab
Respostas:
13
Se eles fizeram da maneira forense correta, não há maneira de determinar o que foi examinado. A maneira correta teria sido a tecnologia forense retirar o disco rígido, cloná-lo, devolvê-lo à máquina e examinar a imagem do clone. Não haverá rastros em sua unidade, pois ela nunca foi inicializada. Eles funcionarão estritamente a partir da imagem do clone e você deve considerar tudo no disco rígido como comprometido e também deve estar ciente de que eles podem ter retido a imagem ou partes da imagem. Espero que você não tenha nada lá, você vai se arrepender.
De fato, você deve assumir que eles viram tudo. (Possivelmente incluindo arquivos que você tinha suprimido.) Apenas considere-se afortunado que eles voltaram o sistema ...
Samb
5
Outro motivo para a criptografia de disco inteiro usando o Trucrypt.
Moab
4
Quanto ao TrueCrypt, sim, deve ajudar. Mas se o atacante for dedicado, ele também poderá plantar um carregador de inicialização TrueCrypt modificado que salvará a senha digitada e a enviará ao servidor. Se eles tiverem tempo para desmontar o laptop, podem até instalar um keylogger de hardware. Seja paranóico, muito paranóico
Martheen Cahya Paulo
2
@typoknig: Força bruta pura em uma criptografia forte bem implementada levaria anos. No entanto, se houver fraqueza encontrada mais tarde, o ataque poderá ser feito em um período mais curto. Por enquanto, acredito que keylogging, hardware e ou software, seria mais fácil
Martheen Cahya Paulo
2
@ Martheen Cahya Paulo Concordo que pode levar anos, mas isso realmente depende do nível de criptografia. Acredito que o TrueCrypt permite criptografia de até 256 bits, que levaria muito tempo (anos) para descriptografar, mas a criptografia <128 bits pode levar apenas semanas a meses (baseando isso na minha experiência com a criptografia AES usada em redes WiFi) )
precisa saber é o seguinte
2
Você pode usar um script para classificar recursivamente os arquivos no sistema pelo último horário de acesso. No entanto, com toda a atividade constantemente acontecendo no sistema de arquivos, como a indexação, é quase impossível determinar exatamente o que eles analisaram.
Instale-o, execute o programa e aguarde a indexação do disco (deve levar menos de um minuto)
Clique com o botão direito do mouse nos cabeçalhos das colunas (onde diz "data de modificação") e ative "Último acesso"
Agora, procure algo aleatório, como windows
Clique no novo cabeçalho da coluna "Último acesso" para classificar os resultados da pesquisa, para que as mais recentes estejam no topo
Exclua sua pesquisa antiga e procure *.*. Isso levará muito tempo, especialmente se for a primeira vez que você usará o Everything; pode demorar até 10 minutos, não sei quanto tempo: isso depende do seu PC; continue esperando, demorei 3 minutos neste PC antigo
Agora você tem uma lista de todos os arquivos no seu PC, listados na hora em que foram acessados pela última vez, com datas e horas.
Observe que o Windows também acessa alguns arquivos quando o PC está ligado sem saída externa; portanto, você não pode ter certeza de que foram eles que acessaram um arquivo.
Respostas:
Se eles fizeram da maneira forense correta, não há maneira de determinar o que foi examinado. A maneira correta teria sido a tecnologia forense retirar o disco rígido, cloná-lo, devolvê-lo à máquina e examinar a imagem do clone. Não haverá rastros em sua unidade, pois ela nunca foi inicializada. Eles funcionarão estritamente a partir da imagem do clone e você deve considerar tudo no disco rígido como comprometido e também deve estar ciente de que eles podem ter retido a imagem ou partes da imagem. Espero que você não tenha nada lá, você vai se arrepender.
fonte
Você pode usar um script para classificar recursivamente os arquivos no sistema pelo último horário de acesso. No entanto, com toda a atividade constantemente acontecendo no sistema de arquivos, como a indexação, é quase impossível determinar exatamente o que eles analisaram.
fonte
A maneira mais rápida de visualizar a hora em que seus arquivos foram acessados pela última vez, até onde eu sei:
Faça o download da ferramenta de pesquisa Tudo: http://www.voidtools.com/
Instale-o, execute o programa e aguarde a indexação do disco (deve levar menos de um minuto)
Clique com o botão direito do mouse nos cabeçalhos das colunas (onde diz "data de modificação") e ative "Último acesso"
Agora, procure algo aleatório, como
windowsClique no novo cabeçalho da coluna "Último acesso" para classificar os resultados da pesquisa, para que as mais recentes estejam no topo
Exclua sua pesquisa antiga e procure
*.*. Isso levará muito tempo, especialmente se for a primeira vez que você usará o Everything; pode demorar até 10 minutos, não sei quanto tempo: isso depende do seu PC; continue esperando, demorei 3 minutos neste PC antigoAgora você tem uma lista de todos os arquivos no seu PC, listados na hora em que foram acessados pela última vez, com datas e horas.
Observe que o Windows também acessa alguns arquivos quando o PC está ligado sem saída externa; portanto, você não pode ter certeza de que foram eles que acessaram um arquivo.
fonte