pol*_*nux 5 security stat forensics timestamps files
有没有办法确保文件已复制到 USB 驱动器?
(例如:我有一个文件 secret.db,我想我的朋友已经将它复制到他的 USB 驱动器中。stat $filename我看不到更新的 a/c/m/time 因为cp没有更新时间戳)。
有没有办法知道或者不可能?
我正在使用 Ubuntu 12.04 和 Bash v4。
TL;DR:在很多情况下,你可以看到文件是否被访问过;但是,无法判断是否制作了副本。
似乎在使用时atime 会更新cp(除非noatime生效);但是,执行任何其他读取操作(如grep somestring $filename)也会触及该文件。
在大多数安装中(没有大量审计),不可能找出文件被读取的确切原因,以及读取文件的进程是否也在其他地方(到 USB?到套接字?到 RAM? )。
此外,这仅涉及在线、非特权攻击。如果我有物理访问权限,我可以重新启动到 live-CD 发行版,以只读方式挂载分区,从中复制任何内容(甚至制作全盘映像),并且分区上不会有任何标记(增量挂载除外)柜台)。