Hat jemand Dateien von meinem Mac kopiert?

Ich war kurz weg von meinem MacBook Air (Yosemite) und vermutete, dass jemand Dateien von meinem Mac kopiert hatte. Hier ist, was ich aus dem system.log unter console /var/log sehen kann. Könnten einige Experten raten, ob dieses "(non-unique): 000000000820"-Protokoll ein Zeichen dafür sein kann, dass jemand ein USB-Laufwerk angeschlossen hat? Wonach muss ich suchen, um herauszufinden, welches Dateiverzeichnis möglicherweise gestohlen wurde?

_____________________START______________________

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
Nur neugierig, welches Log war das? Erinnern Sie sich auch, ob Sie den Computer gesperrt haben oder nicht?
Es war die system.log unter Konsole /var/log, ich habe den Computer nicht gesperrt.

Antworten (3)

Hier ist der Befehl zum Generieren einer Liste aller Dateien, auf die in den letzten 72 Stunden zugegriffen wurde:

sudo find / -atime -72h -ls > output.txt

Von dort aus können Sie „stat“ für jede Datei ausführen, um die Zugriffszeit zu erhalten.

cat output.txt | while read in; do stat; done > accessTimes.txt

Sie können Ihre Suche über einen Texteditor oder den grep-Befehl auf einen bestimmten Datums-/Zeitbereich einschränken.

grep "Mar 31 21:" accessTimes.txt

Dies reicht möglicherweise nicht aus, um ein Fehlverhalten zu beweisen, kann es aber widerlegen, wenn während des betreffenden Fensters auf keine Dateien zugegriffen wurde. Gibt auch eine Vorstellung davon, worauf möglicherweise zugegriffen wurde.

Danke schön. Eine andere Frage: Umfasst der "Zugriff" Dateien, die auf einen USB-Flash-Stick oder eine andere tragbare USB-Festplatte kopiert wurden? Ich habe mir die Dateien angesehen, auf die während dieser Zeit "zugegriffen" wurde. Ich habe nur einige Systemdateien erkannt, deren Namen mir nicht bekannt sind.
Ja, greife mal in den Inode-Updates mit einer Datei auf eine Kopie zu.

Der andere Beitrag, der besagt, dass es unmöglich ist zu wissen, was dieses Gerät ist, ist falsch.

Die Zeile, in der Sie "USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3" angeben, sagt Ihnen eigentlich genau, um welche Art von Gerät es sich handelt:

Die Nummer 0x5ac ist eine Vendor ID, die Ihnen sagt, dass das Gerät von Apple Inc.

Die Nummer 0x8406 ist eine Produkt-ID, die Ihnen sagt, dass das Gerät der eingebaute SDXC-Kartenleser im Laptop ist.

Die Nummer 0x820 ist die Seriennummer, die bei allen Apple SDXC-Kartenlesern immer diese Nummer ist.

Die Zahl 3 ist die Revisionsnummer, was bedeutet, dass dieser Kartenleser eine Revision 3.00 ist.

Das bedeutet, dass das verbundene Gerät der interne SDXC-Kartenleser im Laptop ist. Normalerweise ist dieses Gerät immer verbunden, aber es kann getrennt werden, weil beispielsweise der Laptop in den Ruhezustand versetzt wird.

Dies sagt Ihnen, dass niemand ein externes USB-Laufwerk an Ihren Laptop angeschlossen hat. Stattdessen kommunizierte der interne SDXC-Kartenleser einfach mit dem Host-Prozessor, was er ständig tut.

Aus diesem Protokoll können Sie nur erkennen, dass ein USB-Gerät angeschlossen oder getrennt wurde. Es könnte ein USB-Laufwerk sein, aber andererseits könnte dieses Laufwerk in den Ruhezustand wechseln. Jemand könnte ein iPhone angeschlossen haben, um es aufzuladen. Der Punkt ist, es ist unmöglich zu wissen.

Selbst wenn ein USB-Laufwerk angeschlossen war, kann nicht festgestellt werden, ob Dateien von Ihrem Computer kopiert wurden. Um zu sehen, ob Dateien tatsächlich von (oder auf) Ihrem Computer kopiert wurden, benötigen Sie ein Prüfprotokoll . Apple wird mit einem geliefert, ist aber standardmäßig deaktiviert.

Siehe diesen Beitrag auf OpenBSM .

Danke schön. Sie würden zustimmen, dass während dieser Zeit ein USB-Laufwerk angeschlossen war, das dieses protokollierte Element ausgelöst hat? An den Computer war kein USB-Anschluss angeschlossen. Einfach nur hier herumzusitzen, hätte dieses Protokoll nicht auslösen sollen, oder? Außerdem verstehe ich den Code "(nicht eindeutig) 000000000820 0x5ac 0x8406 0x820, 3 nicht. Hat jedes USB-Laufwerk eine Seriennummer wie 000000000820? Danke
Einige USBs haben eindeutige SN#s und andere nicht. Ich habe mehrere SanDisk USB-Laufwerke, die mit derselben Seriennummer angezeigt werden
Danke schön. Ich stelle mir vor, dass versucht wurde, Dateien mit einem USB-Laufwerk zu stehlen, da der Computer selbst die erste Zeile nicht aufgefordert hätte, oder?
Kann ich nicht mit Sicherheit sagen. Woher wissen Sie, dass der Computer ein USB-Gerät nicht aufgeweckt und "neu angeschlossen" hat? Aus dem Protokoll können wir einfach nichts sagen.
Ich wusste es, weil vor meiner Abreise und nach meiner Rückkehr kein USB-Gerät an den Laptop angeschlossen war.
Denken Sie daran – es zeigt nur an, dass ein USB-Gerät angeschlossen/getrennt wurde, nicht, dass Dateien kopiert wurden. Vielleicht möchten Sie darüber nachdenken, Ihre Dateien zu verschlüsseln , damit sie nutzlos sind, selbst wenn jemand sie in die Finger bekommt.
Hat jemand Dateien von meinem Mac kopiert?
AntwortenHierDatenschutz-Bestimmungen1y, 0v