Windows
在 Windows 機器上檢測拇指驅動器的使用
我的公司有一個問題,客戶可能會使用拇指驅動器來記錄和訪問公司機器上的資訊,我們與這些機器簽訂契約來為我們執行測試應用程序。理想情況下,我們希望他們鎖定係統以不允許這樣做,但這確實不是一個選擇,因為有幾家公司對遵循此要求表示不滿。Windows 中的某處是否有一個日誌系統,可以跟踪在一定時間內訪問電腦的事物。如果沒有,是否有我們可以在後台執行的程序來做到這一點?
我應該澄清一下。我的公司真正害怕的是有人使用帶有程序的拇指驅動器並啟動可以從我們的測試系統複製數據的應用程序。測試是通過網際網路完成的,因此我們並不害怕他們從硬碟複製文件。我知道我們可能無法檢測到有人啟動了應用程序,但在緊要關頭,我們想檢測是否在某個日期和時間將拇指驅動器放入機器中。
您可以檢測到插入拇指驅動器的證據。請參閱 Windows 取證專家 Harlan Carvey 的部落格文章取證法以表明這是真的。如果我沒記錯的話,他確實在他的《Windows 取證分析》一書中介紹了這一點(部落格中的連結現在將您帶到 Syngress 的 Elsevier 首頁)。
如果您沒有打開審核,確定複製的內容會有點困難。如果您有兩個驅動器的精確圖像,您可能能夠確定哪個方向,但是您已經知道哪些文件。