¿Cómo verificar si alguien vio / copió un video?

8

¿Hay alguna forma de verificar si alguien (un hacker que tenía acceso físico a mi máquina) accedió o copió un archivo (un video) en mi sistema? Realmente necesito saber.

eljimi12
fuente
¿Puede indicar si el delincuente utilizó su sistema operativo o si accedió a la PC con un medio en vivo?
Fiximan

Respuestas:

7

Usando el terminal, puede verificar cuándo fue la última vez que se accedió al archivo de video, si esto es más tarde que la última vez que lo accedió, existe la posibilidad de que lo haya copiado. Por supuesto, si ha accedido al archivo desde entonces, o no recuerda cuándo fue la última vez que lo accedió, esto no será muy útil. Por acceso, me refiero a copiar, reproducir o mover el archivo.

En la terminal, use el comando:

stat /path/to/video

Obtendrá salida en el siguiente formato:

$ stat file
  File: â?~fileâ?T
  Size: 435             Blocks: 8          IO Block: 4096   regular file
Device: 801h/2049d      Inode: 262181      Links: 1
Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2016-09-12 10:30:01.186634836 +0100
Modify: 2015-10-13 15:18:11.669085522 +0100
Change: 2015-10-13 15:18:11.669085522 +0100
 Birth: -

La información después de la Access:línea le indicará cuándo se accedió por última vez.

Este método ciertamente no es infalible, el tiempo de acceso para el archivo puede ser falso, o la hora del sistema puede cambiarse por la duración del acceso al archivo, luego restablecer a la hora correcta. Todo depende del nivel de habilidad del usuario que intenta copiar su video. Es posible que no se hayan molestado si lo hubieran chantajeado de todos modos, pero no hay forma de discernir esa información. Es muy difícil rastrear el acceso a archivos sin haber instalado previamente un IDS (Sistema de detección de intrusiones) como snort o tripwire.

Arronico
fuente
2 videos eliminados, así que no puedo verificar. 1 video almacenado en otro lugar era bueno, ¿cómo verificar los videos eliminados?
eljimi12
No sé una manera de hacerlo, me temo.
Arronical
55
si se elimina, tendría que usar un software de recuperación, pero no hay garantía de que se conserven las marcas de tiempo
Sergiy Kolodyazhnyy
2
@ eljimi12 También es posible que haya cambiado el tiempo del sistema rápidamente entre accesos.
muru
44
Y si la persona no autorizada sabe lo que está haciendo, podría modificar la marca de tiempo de "Acceso" de todos modos.
JAB