Quais vestígios são deixados após a inicialização pelo usb?

12
  1. É verdade que uma unidade USB inicializável do Ubuntu não permite que nada seja gravado no disco rígido do computador?
  2. Nesse caso, um computador com uma unidade SSD, como a minha, também ficaria sem nenhum vestígio de uma sessão USB inicializável?
boot usb hard-drive security drive Buscador
fonte

Respostas:

20

Muitos discos armazenam um contador de ciclos de inicialização, legíveis via SMART. (Por exemplo, no Windows, é possível usar o CrystalDiskInfo - em todas essas capturas de tela, você pode ler o "Power On Count" no lado direito da janela https://www.google.com/search?q=crystaldiskinfo&source=lnms&tbm = isch )

Esse contador será sensível à inicialização de um disco diferente, mas não será específico (o contador também aumentaria para a entrada na tela de configuração do BIOS ou um caso em que a energia foi desligada novamente antes de carregar o sistema operacional).

Como esse contador é controlado pelos componentes eletrônicos da unidade, não há nada que o software Ubuntu no pen drive possa fazer para impedir a atualização. Em alguns casos, pode ser possível limpar ou reescrever o contador, mas isso seria específico para o modelo de disco / versão do firmware e a limpeza do contador ainda seria detectável.

Alguns BIOSs do sistema também mantêm um log de eventos do sistema. Eu não vi um que registra a inicialização de uma mídia removível, mas é certamente viável.

É claro que você também pode deixar vestígios físicos na própria porta USB, como perturbar uma camada de oxidação.

Ben Voigt
fonte
esse contador é controlado pelos componentes eletrônicos da unidade, exatamente o firmware do disco.
heemayl
Claro que foi ciclado, uma reinicialização não conta?
Mckenzm
2
@mckenzm: Dependendo do design do sistema de energia, uma reinicialização pode ou não envolver a remoção momentânea de energia de periféricos, como discos, e dependendo do design do controlador de disco, pode haver capacitância suficiente para levá-lo a uma pequena remoção de energia.
Ben Voigt
18

É verdade que uma unidade USB inicializável do Ubuntu não permite que nada seja gravado no disco rígido do computador?

Não. Você pode montar os discos e escrever sobre eles. Afinal, o pendrive é a principal maneira como os usuários do Ubuntu instalam o Ubuntu pela primeira vez.

Mas, por padrão, o Ubuntu não monta nada que você não diga.

Portanto, se você não montasse qualquer partição "C:" na realidade, não deixaria vestígios de ter sido inicializado no Ubuntu.

Oli
fonte
6
Isso permanece verdadeiro se houver uma partição de troca utilizável na unidade SATA?
kasperd
1
@kasperd: systemd-gpt-auto-generatorirá verificar uma GPT e detectar automaticamente as partições de troca, mas apenas o "disco raiz". Seria muito ruim se um sistema utilizasse acidentalmente espaço de troca de um volume removível. Mas você pode confiar no volume raiz que não é removível.
precisa
6
Testei em uma VM com o Ubuntu 16.04 (64 bits, modo UEFI) instalado, que possui uma partição de swap de 4 GB separada. A inicialização dessa VM a partir de uma imagem iso 16.04 (instalação / DVD ao vivo) resultará em um sistema ao vivo com a partição de troca do disco montada e ativada automaticamente. Não sei como o sistema ativo decide quais partições de swap serão montadas, mas, às vezes, definitivamente o faz.
Byte Commander
1
Se ele usa a partição swap, muito ruim se os dados de hibernação foram armazenados nela.
Mckenzm
1
As informações (aviso) sobre troca devem ser editadas na resposta.
Jonas Schäfer
3

Resposta a 1:

A inicialização USB do Ubuntu normalmente nem monta o HDD / SSD do seu sistema e, se montado, é somente leitura, a menos que você diga ao Ubuntu para tratá-lo como leitura e gravação.

Resposta a 2:

Não haverá vestígios de uma sessão USB, a menos que você grave no seu HDD / SSD (consulte a resposta 1).

Videonauth
fonte
Estou entendendo dessas boas respostas que as unidades SSD são tão imunes a traços indesejados quanto as unidades de disco rígido ao inicializar por USB. Bom saber.
apanhador
Bem, se você escrever para o seu SSD, também pode haver vestígios, pensei que era desnecessário dizer, mas atualizará minha resposta de acordo.
Videonauth
4
Eu diria que não há diferença na imunidade a traços indesejados entre SSD e HDD.
Soren Um
2

Tenha muito cuidado com algumas respostas desta página. É muito fácil gravar e / ou destruir os dados no (s) seu (s) disco (s) interno (s) ao executar um flash drive ativo ou persistente.

Estou usando uma instalação do pendrive para escrever isso, quando observo o Unity e vejo todas as minhas partições internas estão montadas.

Se eu abrir o gparted e quiser modificar, formatar ou excluir uma partição, ela geralmente precisará ser desmontada.

Enquanto no gparted, nada precisa ser desmontado para criar uma nova tabela de partição e limpar a unidade interna.

Também pode ser muito perigoso usar o dd de uma unidade flash, um erro muito pequeno e tudo em qualquer unidade pode ser apagado.

A resposta para sua segunda pergunta é verdadeira, pode não haver nenhum vestígio de sua sessão USB inicializável ou qualquer outra coisa.

Nenhuma senha é necessária para a permissão root na maioria das unidades USB ativas e persistentes

Instalações ativas e persistentes são seguras o suficiente, mas aprendem os riscos.

CSCameron
fonte
1

Uma sessão USB do Ubuntu ao vivo não deixa vestígios no disco rígido do computador em que é inicializada, a menos que o Ubuntu esteja instalado no disco rígido a partir da sessão do USB ao vivo e instalando o Ubuntu a partir de um USB ao vivo do Ubuntu ou fazendo alterações no disco rígido do computador não é necessário, apenas opcional.

karel
fonte
6
Você pode montar e gravar em discos locais, sem instalar o Ubuntu, para que sua resposta esteja errada.
Soren Um
Quando inicializo uma unidade flash Live ou persistente, quase todas as partições do computador já estão montadas. No gparted, é necessário desmontar a maioria das partições antes de excluir, formatar ou reduzir. Não é necessário desmontar nada para criar uma nova tabela de partição e limpar a unidade interna.
CSCameron
1
De fato, uma das razões mais populares para montar uma distribuição ao vivo é recriar novamente o disco interno de um clone ou mestre e, se for um disco do Windows, excluir ou renomear determinados arquivos. É, no entanto, possível não deixar rastros. Em caso de dúvida, abra a caixa e desconecte o disco.
Mckenzm
0

Eu achei as diferenças de respostas nesta página intrigantes e decidi fazer uma rápida comparação entre os tipos de instalação USB inicializáveis ​​usando o Ubuntu 16.04.1 64bit Desktop:

  • Instalação completa usando o Ubiquity.

  • Instalação do syslinux ao vivo usando o Startup Disk Creator.

  • Instalação persistente do grub2 usando mkusb / dus

As instalações ao vivo e persistentes tinham as mesmas características, exceto conforme observado.

Instalação completa, (FS) vs instalação ao vivo / persistente, (L / P)

O SO USB monta automaticamente todas as partições * - Completo - sim, L / P - sim

Partição interna gravável sem SU - Cheia - sim, L / P - não

Partição interna gravável com SU - Cheia - sim, L / P - sim

O superusuário requer senha - Completo - sim, L / P - não

Gparted requer senha - Completo - sim, L / P - não

A instalação na unidade interna requer senha - Completo - N / D, L / P - não

Usa o espaço de troca da unidade interna, (se disponível) - Completo - sim, L / P - sim

Usa a partição casper-rw da unidade interna, (se disponível) - Completo - N / D, Live - não, Persistente - sim.

Enquanto o computador não tiver uma partição swap, uma partição casper-rw, você será cuidadoso ao salvar coisas, não usar gparted, boot-repair, clique no ícone de instalação, digite "sudo" ou "dd" ou tente fazer o backup de qualquer coisa, você deve estar bem. Se for um Live USB (sem persistência) e a unidade interna for Windows, simplesmente não digite "sudo" ou use quaisquer utilitários.

Todos os resultados nesta revisão podem ser facilmente duplicados.

  • As partições ISO9660 são montadas, mas são apenas imagens de leitura., Assim como a pasta cdrom.
CSCameron
fonte
Você gostaria de traduzir isso para a linguagem dos leigos? A pergunta que eu procurava responder, qualificada agora em resposta a essa enxurrada de respostas, era simplesmente a seguinte: se eu executo o Ubuntu em um USB e não faço absolutamente nada para acessar o HDD ou SSD do computador, qualquer vestígio de minha atividade pode vazar para eles?
apanhador
2
Enquanto o computador não tiver uma partição swap, uma partição casper-rw, você será cuidadoso ao salvar as coisas, não usar gparted, boot-repair, clique no ícone de instalação, digite "sudo" ou "dd" ou tente fazer o backup de qualquer coisa, você deve ficar bem. Se for um USB ativo (sem persistência) e a unidade interna for Windows, simplesmente não digite "sudo" ou use quaisquer utilitários.
CSCameron
1
@CSCameron Seu comentário acima é a resposta real: Enquanto não houver swap ou casper-rw e nada mais for montado, explícita ou inadvertidamente, uma sessão ao vivo não tocará nas unidades internas. Caso contrário, pode ser a palavra operativa aqui. Mesmo assim, a troca não é preservada e quaisquer vestígios de uso durante uma sessão ao vivo não são "visíveis" para ninguém, exceto especialistas forenses.
A resposta para a pergunta 1 do OP é: não, não é verdade, o Ubuntu permite que as coisas sejam gravadas no disco rígido de um computador. O número 2 também não é verdadeiro, o computador pode ficar com muitos vestígios da sessão USB, incluindo um novo sistema operacional. O OP qualificou sua pergunta e a nova resposta é: que a unidade interna é segura, desde que o usuário seja cuidadoso e saiba o que está fazendo. Limpei o disco rígido de um computador de trabalho há apenas um mês, mas não estou cuidado e eu gosto de experimentar.
CSCameron
Obrigado CelticWarrior Adicionei esse comentário à minha resposta.
CSCameron