Gibt es eine Möglichkeit herauszufinden, wann ein USB-Stick zuletzt verwendet wurde (auf jedem Computer)?

Ich habe ein USB-Flash-Laufwerk und ich dachte, jemand anderes hätte es an seinen Computer angeschlossen und einige Dateien kopiert.

Woher weiß ich bei Verwendung meines Mac, wann mein USB-Flash-Laufwerk das letzte Mal angeschlossen war?

Hallo @gun, ich glaube, dass das, was Sie suchen, leider nicht möglich ist. Kann ich bestätigen, dass Sie herausfinden möchten, ob jemand anderes Ihren USB-Schlüssel verwendet hat, und Sie befürchten, dass jemand auf einige der Dateien zugegriffen hat, die Sie auf diesem Schlüssel hatten? Ich glaube, die folgende Antwort zeigt, wie Sie feststellen können, wann jemand zuletzt einen USB-Stick an Ihren Computer angeschlossen hat.

Antworten (5)

Der beste Beweis, den Sie bekommen könnten, ist, die Zeit des letzten Zugriffs auf die fraglichen Dateien oder vielleicht die Zeit des letzten Zugriffs auf das Verzeichnis der obersten Ebene im Dateisystem zu untersuchen.

Aber zuerst ein bisschen Hintergrund. Ein USB-Flash-Laufwerk wird vom Computer ähnlich wie eine Festplatte behandelt. Das Laufwerk (oder genauer gesagt die Hauptpartition innerhalb des Laufwerks) würde als Dateisystem formatiert. Die meisten Flash-Medien sind standardmäßig mit einem VFAT-Dateisystem formatiert, das eine Lösung mit dem kleinsten gemeinsamen Nenner ist, die mit fast allen Geräten funktioniert, einschließlich OS X, Windows, Linux und Digitalkameras. Die nächsten wahrscheinlichsten Alternativen zu VFAT wären HFS+ (das native Dateisystem von OS X, das Windows überhaupt nicht unterstützt) oder NTFS (das native Dateisystem von Windows, das von jeder Version von Windows unterstützt wird, die in diesem Jahrhundert veröffentlicht wurde, aber welche hat nur schreibgeschützte Unterstützung in OS X und wird selten auf Digitalkameras unterstützt).

Dieser Hintergrund ist relevant, da verschiedene Dateisysteme die letzte Zugriffszeit unterschiedlich speichern. Ich gehe davon aus, dass Ihr USB-Stick mit VFAT formatiert ist. Dies ist wichtig, da VFAT-Dateisysteme nur das Datum des letzten Zugriffs speichern , nicht die Uhrzeit. Das wäre der beste Beweis, den Sie sammeln könnten, vorausgesetzt, dass alles andere gut läuft.

Um die letzten Zugriffsdaten im Finder anzuzeigen ,

  1. Zur Listenansicht wechseln (Ansicht → als Liste (⌘2))
  2. Dialog Ansichtsoptionen anzeigen (Ansicht → Ansichtsoptionen anzeigen (⌘J))
  3. Wählen Sie „Datum der letzten Öffnung“

Alternativ können Sie anstelle des Finder das Terminal zum Ausführen verwenden

stat -x /Volumes/USB-Stick-Name/Path/To/File

um die Zugriffszeit einer bestimmten Datei anzuzeigen.

Es gibt jedoch einige wichtige Vorbehalte!

Erstens führt das Anschließen des Mediums an Ihren Mac dazu, dass es automatisch gemountet wird, wodurch die letzte Zugriffszeit auf das Verzeichnis der obersten Ebene geändert wird (und vielleicht sogar noch mehr Beweise zerstört werden). Eine forensische Analyse sollte Vorsichtsmaßnahmen erfordern, wie z. B. das Mounten des Mediums im schreibgeschützten Modus. Dafür müsste man das Automount-Verhalten von OS X unterdrücken , was gar nicht so einfach ist.

Zweitens hätte Ihr verdächtigter Kollege / Spion eine ähnliche Gegenmaßnahme ergreifen können, indem er die Medien schreibgeschützt montiert und somit keinen Zeitstempel als Beweis hinterlassen hat. (Es gibt auch keine Garantie dafür, dass die Uhr des Computers, den der Spion benutzt hat, genau eingestellt war, was Zweifel an der Gültigkeit eines Zeitstempels aufkommen lassen würde.)

Die Moral von der Geschichte lautet: Wenn Sie vertrauliche Informationen haben, die auf Wechselmedien gespeichert werden sollen, verschlüsseln Sie sie! Die einfachste Lösung wäre die Verwendung von FileVault 2 . Beachten Sie jedoch, dass eine solche Verschlüsselung den USB-Stick auf jedem anderen Computer als einem Mac unlesbar machen würde.

Mounten Sie Ihr USB-Gerät ReadOnly

Dazu besteht der einfachste Weg darin, Disk Arbitrator zu installieren und so zu konfigurieren, dass jedes Gerät nur schreibgeschützt gemountet wird.

Disk-Arbitrator_setting

Das Disk-ArbitratorMenüleistensymbol sollte rot werden.

Schließen Sie Ihr USB-Gerät an. Es besteht jetzt kein Risiko mehr, dass Sie unbeabsichtigt Zugriffszeiten ändern.

Suchen Sie nach Zugriffszeiten

Angenommen, Ihr USB-Gerät ist als suspicious_USB.

Öffnen Sie ein Terminaloder xterm-Fenster. Angenommen, Sie sind sich sicher, dass Sie Ihr USB-Gerät seit 20 Tagen an keinem Computer mehr gemountet haben. Führen Sie in Ihrem Befehlszeilenfenster die folgenden Befehle aus:

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

Dieser Befehl zeigt Ihnen alle Dateien (auch versteckte) an, die ein Betriebssystem möglicherweise innerhalb von weniger als 21 Tagen geöffnet hat. Die Ausgabe dieses Befehls zeigt Ihnen die detaillierte letzte Zugriffszeit einer gelesenen oder einfach berührten Datei oder eines Ordners an. Dieser Befehl zeigt Ihnen beispielsweise an, dass ein Ordner einfach geöffnet wurde. Dieser Befehl zeigt Ihnen, dass Spotlight auf Ihrem USB-Stick ausgeführt wurde.

Wenn Sie etwas finden, wissen Sie, wann Ihr USB gelesen wurde.

Einschränkung der Gewährleistung

Wenn unser verdächtigter Kollege oder Angreifer so geschickt ist, dieses Dokument zu lesen und zu verstehen, wie es verwendet wird, hat er Ihr USB-Gerät möglicherweise auch schreibgeschützt gemountet. Daher hätte er es von jeder Änderung der Zugriffszeit sauber gelassen.

In diesem Fall habe ich absolut keine Methode, um zu zeigen, dass eine Datei auf Ihrem USB-Gerät gelesen wurde :(.

Ich entschuldige mich dafür, dass ich hier schreibe, ich fand die @daniel-Antwort großartig, aber sie würde mein Problem nur dann vollständig lösen, wenn ein kleiner Schritt weiter unternommen würde: Ich stelle die Zeichenfolge /usr/bin/sudo find . -atime -21 -exec ls -dluT {} \; aber ich sehe nur die letzten Zugriffe von jedem Tag (Beispiel: 3. Mai, 18.30 Uhr) Wie kann ich auch alle Zugriffe eines bestimmten Tages auf dem Display anzeigen (wenn ich zum Beispiel sehen möchte, ob das Gerät auch am Mai montiert wurde 3 um 12.00 Uhr)? Wenn es hilft (oder relevant sein könnte), ist der Inhalt der Festplatte ein Backup, das mit TimeMachine erstellt wurde. Vielen Dank im Voraus
MacOS X speichert mit jeder Datei nur einen Zugriffszeitpunkt: den letzten.
  • Öffnen Sie Ihre Konsole
  • Wählensystem.log
  • Geben Sie die folgende Abfrage in das Suchfeld (obere rechte Ecke) ein: USBMSC
  • Sie werden so etwas wie sehenkernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
  • Datum und Uhrzeit werden ebenfalls angezeigt. Dadurch erfahren Sie, wann ein Gerät zuletzt an einen bestimmten USB-Bus angeschlossen war.
Wenn ich sowohl die Frage als auch die Antwort richtig lese, fragt er nach einer Möglichkeit, herauszufinden, wann ein bestimmtes USB-Gerät an einen bestimmten USB-Bus angeschlossen wurde, während diese Antwort zeigt, wie man erkennt, wann ein USB-Gerät an einen bestimmten USB-Bus angeschlossen wurde . Ich glaube leider nicht, dass es eine Möglichkeit gibt, zu sehen, was der Fragesteller will (vorausgesetzt, ich lese es richtig).
→ njboot: Diese Antwort beantwortet eine weitere relevante Sicherheitsfrage: „Wie kann ich sehen, wenn jemand einen verdächtigen USB-Stick an meinen Mac angeschlossen hat?“.

Für "beliebige USB-Geräte" ist dies sicherlich nicht möglich, da der Standard für die Kommunikation ist.
Bei USB-Sticks können Sie versuchen, die Zugriffsdaten der einzelnen Dateien zu überprüfen (rechnen Sie nicht darauf, werden oft sowieso nicht verwendet, und Ihre eigene Überprüfung kann die Daten überschreiben, wenn Sie nicht aufpassen) oder das Vorhandensein von Dateien Sie weder Sie noch Ihr Computer wissen , was dort abgelegt werden könnte (wie thumbs.db oder RECYCLED für Windows, .DS_Store oder .Trashes für Mac).

Es macht wenig Sinn, diese Funktion in einem typischen Verbraucherprodukt zu haben. Selbst wenn es in der Firmware des Geräts gespeichert wäre, wäre es immer noch von der Uhr des Host-Computers abhängig.

"abhängig von der Uhr des Host-Computers", anstatt sich auf solche leicht zu fälschenden Daten zu verlassen, kann es stattdessen einen nicht rücksetzbaren Zähler haben, der jedes Mal erhöht wird, wenn das Gerät eingeschaltet wird.
@andré-daniel Nicht nützlich für den Zweck des OP, es sei denn, es gab einen anderen Mechanismus (nicht unbedingt auf dem Gerät), der den Zählwert speichert, bei dem sie und nur sie zuletzt darauf zugegriffen haben. Nur eine Echtzeituhr würde helfen, benötigt aber eine größere Batterie als die Speichereinheit. Sie sollten besser einen Pass-Through-USB-Logger/Sicherheit programmieren. Eine solche Lösung erfordert jedoch, dass das Gerät speziell dafür vorbereitet ist.
Ja, ich habe das nicht unbedingt für das OP gesagt, ich habe nur darauf hingewiesen, dass es eine Möglichkeit gibt, einen "Sicherheitszähler" zu implementieren, damit ein Benutzer wissen kann, ob das Gerät ohne seine Zustimmung verwendet wurde.
@andré-daniel Verstanden. Es wären weiterhin Algorithmen erforderlich, um das Risiko von Fehlalarmen zu verringern, z. B. bei Computerneustarts, kurzzeitigen USB-Trennungen, „USB-Stromstößen“, fehlgeschlagenen Mounts usw., zusätzlich zum Speichern des erwarteten Werts an anderer Stelle. Die Mühe nicht wert. Wenn ich gebeten würde, es zu implementieren, würde ich den Algorithmusplatz und die Programmierzeit dafür aufwenden, stattdessen einen Ereignislogger zu erstellen - einfacher für die richtige Verwendung zu optimieren als mögliche falsche Szenarien, und Speicherplatz ist heutzutage billig.
Ja, was ich dachte, ist eine Art Smartcard, die in das USB-Laufwerk eingebettet ist, die Ereignisse protokollieren kann und nicht (leicht) manipuliert werden kann.

Verwenden Sie Belarc Advisor ... führen Sie es mit Administratorrechten aus ... wenn der Bericht fertig ist, suchen Sie nach der USB-Speichernutzung in den letzten 30 Tagen ... dort können Sie den USB-Typ und die letzte Verwendung sehen ...

Gibt es eine Möglichkeit herauszufinden, wann ein USB-Stick zuletzt verwendet wurde (auf jedem Computer)?
AntwortenHierDatenschutz-Bestimmungen1y, 0v