+1, sorprendido, nadie ha votado esto todavía, es una gran pregunta.
Moab
Respuestas:
13
Si lo hicieron de la manera forense correcta, entonces NO HAY MANERA de determinar qué se examinó. La forma correcta habría sido que el técnico forense extraiga el disco duro, lo clone, regrese su disco duro a la máquina y luego examine la imagen clonada. No habrá rastros en su disco ya que nunca se arrancó. Funcionarán estrictamente desde la imagen clonada y debe considerar que todo en el disco duro se ha visto comprometido y también debe tener en cuenta que pueden haber retenido la imagen o partes de la imagen. Espero que no tengas nada allí, te arrepentirás.
De hecho, debes asumir que lo han visto todo. (Incluyendo la posibilidad de archivos que se han suprimido.) Simplemente considérese afortunado que regresaron el sistema ...
Samb
55
Otra razón para el cifrado de disco completo con Trucrypt.
Moab
44
En cuanto a TrueCrypt, sí, debería ayudar. Pero si el atacante es tan dedicado, también pueden plantar un cargador de arranque TrueCrypt modificado que guardará la contraseña ingresada y luego enviarla a su servidor. Si tienen tiempo para desmontar su computadora portátil, incluso pueden plantar un keylogger de hardware. Sé paranoico, sé muy paranoico
Martheen Cahya Paulo
2
@typoknig: Sin embargo, la fuerza bruta pura en un cifrado fuerte bien implementado llevaría años. Sin embargo, si hay debilidad encontrada más tarde, el ataque podría realizarse en un período de tiempo más corto. Por ahora, creo que el keylogging, hardware y / o software, sería más fácil
Martheen Cahya Paulo
2
@Martheen Cahya Paulo Estoy de acuerdo en que podría llevar años, pero realmente depende del nivel de cifrado. Creo que TrueCrypt permite un cifrado de hasta 256 bits, lo que llevaría mucho tiempo (años) descifrar, pero el cifrado <128 bits solo puede llevar semanas o meses (basándome en mi experiencia con el cifrado AES utilizado en redes WiFi )
ubiquibacon
2
Puede usar un script para ordenar recursivamente archivos en el sistema por último tiempo de acceso. Sin embargo, con toda la actividad que se realiza constantemente en el sistema de archivos, como la indexación, es casi imposible determinar exactamente lo que han visto.
Instálelo y ejecute el programa, y espere a que indexe su disco (debería tomar menos de un minuto)
Haga clic en los encabezados de columna (donde dice "fecha de modificación") y habilite "Último acceso"
Ahora busca algo al azar, como windows
Haga clic en el nuevo encabezado de columna "Último acceso" para ordenar los resultados de búsqueda, de modo que los últimos estén en la parte superior
Elimine su búsqueda anterior y busque *.*. Esto llevará mucho tiempo, especialmente si es la primera vez que usa Everything; pueden durar hasta 10 minutos, no sé cuánto tiempo: eso depende de su PC; solo espera, me tomó 3 minutos en esta vieja PC
Ahora tiene una lista de todos los archivos en su PC, enumerados por la hora en que se accedió por última vez, con fechas y horas.
Tenga en cuenta que Windows también accede a algunos archivos cuando la PC está encendida sin salida externa, por lo que no puede estar seguro de que fueron ellos los que accedieron a un archivo.
Respuestas:
Si lo hicieron de la manera forense correcta, entonces NO HAY MANERA de determinar qué se examinó. La forma correcta habría sido que el técnico forense extraiga el disco duro, lo clone, regrese su disco duro a la máquina y luego examine la imagen clonada. No habrá rastros en su disco ya que nunca se arrancó. Funcionarán estrictamente desde la imagen clonada y debe considerar que todo en el disco duro se ha visto comprometido y también debe tener en cuenta que pueden haber retenido la imagen o partes de la imagen. Espero que no tengas nada allí, te arrepentirás.
fuente
Puede usar un script para ordenar recursivamente archivos en el sistema por último tiempo de acceso. Sin embargo, con toda la actividad que se realiza constantemente en el sistema de archivos, como la indexación, es casi imposible determinar exactamente lo que han visto.
fuente
La forma más rápida de ver la última vez que se accedió a sus archivos, que yo sepa:
Descargue la herramienta de búsqueda Todo: http://www.voidtools.com/
Instálelo y ejecute el programa, y espere a que indexe su disco (debería tomar menos de un minuto)
Haga clic en los encabezados de columna (donde dice "fecha de modificación") y habilite "Último acceso"
Ahora busca algo al azar, como
windowsHaga clic en el nuevo encabezado de columna "Último acceso" para ordenar los resultados de búsqueda, de modo que los últimos estén en la parte superior
Elimine su búsqueda anterior y busque
*.*. Esto llevará mucho tiempo, especialmente si es la primera vez que usa Everything; pueden durar hasta 10 minutos, no sé cuánto tiempo: eso depende de su PC; solo espera, me tomó 3 minutos en esta vieja PCAhora tiene una lista de todos los archivos en su PC, enumerados por la hora en que se accedió por última vez, con fechas y horas.
Tenga en cuenta que Windows también accede a algunos archivos cuando la PC está encendida sin salida externa, por lo que no puede estar seguro de que fueron ellos los que accedieron a un archivo.
fuente