Ich war kurz weg von meinem MacBook Air (Yosemite) und vermutete, dass jemand Dateien von meinem Mac kopiert hatte. Hier ist, was ich aus dem system.log unter console /var/log sehen kann. Könnten einige Experten raten, ob dieses "(non-unique): 000000000820"-Protokoll ein Zeichen dafür sein kann, dass jemand ein USB-Laufwerk angeschlossen hat? Wonach muss ich suchen, um herauszufinden, welches Dateiverzeichnis möglicherweise gestohlen wurde?
_____________________START______________________
Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
Hier ist der Befehl zum Generieren einer Liste aller Dateien, auf die in den letzten 72 Stunden zugegriffen wurde:
sudo find / -atime -72h -ls > output.txt
Von dort aus können Sie „stat“ für jede Datei ausführen, um die Zugriffszeit zu erhalten.
cat output.txt | while read in; do stat; done > accessTimes.txt
Sie können Ihre Suche über einen Texteditor oder den grep-Befehl auf einen bestimmten Datums-/Zeitbereich einschränken.
grep "Mar 31 21:" accessTimes.txt
Dies reicht möglicherweise nicht aus, um ein Fehlverhalten zu beweisen, kann es aber widerlegen, wenn während des betreffenden Fensters auf keine Dateien zugegriffen wurde. Gibt auch eine Vorstellung davon, worauf möglicherweise zugegriffen wurde.
Der andere Beitrag, der besagt, dass es unmöglich ist zu wissen, was dieses Gerät ist, ist falsch.
Die Zeile, in der Sie "USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3" angeben, sagt Ihnen eigentlich genau, um welche Art von Gerät es sich handelt:
Die Nummer 0x5ac ist eine Vendor ID, die Ihnen sagt, dass das Gerät von Apple Inc.
Die Nummer 0x8406 ist eine Produkt-ID, die Ihnen sagt, dass das Gerät der eingebaute SDXC-Kartenleser im Laptop ist.
Die Nummer 0x820 ist die Seriennummer, die bei allen Apple SDXC-Kartenlesern immer diese Nummer ist.
Die Zahl 3 ist die Revisionsnummer, was bedeutet, dass dieser Kartenleser eine Revision 3.00 ist.
Das bedeutet, dass das verbundene Gerät der interne SDXC-Kartenleser im Laptop ist. Normalerweise ist dieses Gerät immer verbunden, aber es kann getrennt werden, weil beispielsweise der Laptop in den Ruhezustand versetzt wird.
Dies sagt Ihnen, dass niemand ein externes USB-Laufwerk an Ihren Laptop angeschlossen hat. Stattdessen kommunizierte der interne SDXC-Kartenleser einfach mit dem Host-Prozessor, was er ständig tut.
Aus diesem Protokoll können Sie nur erkennen, dass ein USB-Gerät angeschlossen oder getrennt wurde. Es könnte ein USB-Laufwerk sein, aber andererseits könnte dieses Laufwerk in den Ruhezustand wechseln. Jemand könnte ein iPhone angeschlossen haben, um es aufzuladen. Der Punkt ist, es ist unmöglich zu wissen.
Selbst wenn ein USB-Laufwerk angeschlossen war, kann nicht festgestellt werden, ob Dateien von Ihrem Computer kopiert wurden. Um zu sehen, ob Dateien tatsächlich von (oder auf) Ihrem Computer kopiert wurden, benötigen Sie ein Prüfprotokoll . Apple wird mit einem geliefert, ist aber standardmäßig deaktiviert.
Siehe diesen Beitrag auf OpenBSM .
Matthäus N
Benutzer283539