Ich habe ein USB-Flash-Laufwerk und ich dachte, jemand anderes hätte es an seinen Computer angeschlossen und einige Dateien kopiert.
Woher weiß ich bei Verwendung meines Mac, wann mein USB-Flash-Laufwerk das letzte Mal angeschlossen war?
Der beste Beweis, den Sie bekommen könnten, ist, die Zeit des letzten Zugriffs auf die fraglichen Dateien oder vielleicht die Zeit des letzten Zugriffs auf das Verzeichnis der obersten Ebene im Dateisystem zu untersuchen.
Aber zuerst ein bisschen Hintergrund. Ein USB-Flash-Laufwerk wird vom Computer ähnlich wie eine Festplatte behandelt. Das Laufwerk (oder genauer gesagt die Hauptpartition innerhalb des Laufwerks) würde als Dateisystem formatiert. Die meisten Flash-Medien sind standardmäßig mit einem VFAT-Dateisystem formatiert, das eine Lösung mit dem kleinsten gemeinsamen Nenner ist, die mit fast allen Geräten funktioniert, einschließlich OS X, Windows, Linux und Digitalkameras. Die nächsten wahrscheinlichsten Alternativen zu VFAT wären HFS+ (das native Dateisystem von OS X, das Windows überhaupt nicht unterstützt) oder NTFS (das native Dateisystem von Windows, das von jeder Version von Windows unterstützt wird, die in diesem Jahrhundert veröffentlicht wurde, aber welche hat nur schreibgeschützte Unterstützung in OS X und wird selten auf Digitalkameras unterstützt).
Dieser Hintergrund ist relevant, da verschiedene Dateisysteme die letzte Zugriffszeit unterschiedlich speichern. Ich gehe davon aus, dass Ihr USB-Stick mit VFAT formatiert ist. Dies ist wichtig, da VFAT-Dateisysteme nur das Datum des letzten Zugriffs speichern , nicht die Uhrzeit. Das wäre der beste Beweis, den Sie sammeln könnten, vorausgesetzt, dass alles andere gut läuft.
Um die letzten Zugriffsdaten im Finder anzuzeigen ,
Alternativ können Sie anstelle des Finder das Terminal zum Ausführen verwenden
stat -x /Volumes/USB-Stick-Name/Path/To/File
um die Zugriffszeit einer bestimmten Datei anzuzeigen.
Es gibt jedoch einige wichtige Vorbehalte!
Erstens führt das Anschließen des Mediums an Ihren Mac dazu, dass es automatisch gemountet wird, wodurch die letzte Zugriffszeit auf das Verzeichnis der obersten Ebene geändert wird (und vielleicht sogar noch mehr Beweise zerstört werden). Eine forensische Analyse sollte Vorsichtsmaßnahmen erfordern, wie z. B. das Mounten des Mediums im schreibgeschützten Modus. Dafür müsste man das Automount-Verhalten von OS X unterdrücken , was gar nicht so einfach ist.
Zweitens hätte Ihr verdächtigter Kollege / Spion eine ähnliche Gegenmaßnahme ergreifen können, indem er die Medien schreibgeschützt montiert und somit keinen Zeitstempel als Beweis hinterlassen hat. (Es gibt auch keine Garantie dafür, dass die Uhr des Computers, den der Spion benutzt hat, genau eingestellt war, was Zweifel an der Gültigkeit eines Zeitstempels aufkommen lassen würde.)
Die Moral von der Geschichte lautet: Wenn Sie vertrauliche Informationen haben, die auf Wechselmedien gespeichert werden sollen, verschlüsseln Sie sie! Die einfachste Lösung wäre die Verwendung von FileVault 2 . Beachten Sie jedoch, dass eine solche Verschlüsselung den USB-Stick auf jedem anderen Computer als einem Mac unlesbar machen würde.
Dazu besteht der einfachste Weg darin, Disk Arbitrator zu installieren und so zu konfigurieren, dass jedes Gerät nur schreibgeschützt gemountet wird.
Das Disk-Arbitrator
Menüleistensymbol sollte rot werden.
Schließen Sie Ihr USB-Gerät an. Es besteht jetzt kein Risiko mehr, dass Sie unbeabsichtigt Zugriffszeiten ändern.
Angenommen, Ihr USB-Gerät ist als suspicious_USB
.
Öffnen Sie ein Terminal
oder xterm
-Fenster. Angenommen, Sie sind sich sicher, dass Sie Ihr USB-Gerät seit 20 Tagen an keinem Computer mehr gemountet haben. Führen Sie in Ihrem Befehlszeilenfenster die folgenden Befehle aus:
cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;
Dieser Befehl zeigt Ihnen alle Dateien (auch versteckte) an, die ein Betriebssystem möglicherweise innerhalb von weniger als 21 Tagen geöffnet hat. Die Ausgabe dieses Befehls zeigt Ihnen die detaillierte letzte Zugriffszeit einer gelesenen oder einfach berührten Datei oder eines Ordners an. Dieser Befehl zeigt Ihnen beispielsweise an, dass ein Ordner einfach geöffnet wurde. Dieser Befehl zeigt Ihnen, dass Spotlight auf Ihrem USB-Stick ausgeführt wurde.
Wenn Sie etwas finden, wissen Sie, wann Ihr USB gelesen wurde.
Wenn unser verdächtigter Kollege oder Angreifer so geschickt ist, dieses Dokument zu lesen und zu verstehen, wie es verwendet wird, hat er Ihr USB-Gerät möglicherweise auch schreibgeschützt gemountet. Daher hätte er es von jeder Änderung der Zugriffszeit sauber gelassen.
In diesem Fall habe ich absolut keine Methode, um zu zeigen, dass eine Datei auf Ihrem USB-Gerät gelesen wurde :(.
system.log
kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
Für "beliebige USB-Geräte" ist dies sicherlich nicht möglich, da der Standard für die Kommunikation ist.
Bei USB-Sticks können Sie versuchen, die Zugriffsdaten der einzelnen Dateien zu überprüfen (rechnen Sie nicht darauf, werden oft sowieso nicht verwendet, und Ihre eigene Überprüfung kann die Daten überschreiben, wenn Sie nicht aufpassen) oder das Vorhandensein von Dateien Sie weder Sie noch Ihr Computer wissen , was dort abgelegt werden könnte (wie thumbs.db oder RECYCLED für Windows, .DS_Store oder .Trashes für Mac).
Es macht wenig Sinn, diese Funktion in einem typischen Verbraucherprodukt zu haben. Selbst wenn es in der Firmware des Geräts gespeichert wäre, wäre es immer noch von der Uhr des Host-Computers abhängig.
Verwenden Sie Belarc Advisor ... führen Sie es mit Administratorrechten aus ... wenn der Bericht fertig ist, suchen Sie nach der USB-Speichernutzung in den letzten 30 Tagen ... dort können Sie den USB-Typ und die letzte Verwendung sehen ...
Chris O'Kelly