ハードディスクが取り外され、そこからデータがコピーされたかどうかを判断しますか？

誰かが私のハードディスクを私のコンピューターから切り離し、そこからデータをコピーし、それを返送したかどうかを検出できる方法やツールはありますか？

私の知らないうちに誰もこれをやったことがないようにしたいのですが、どうすればいいのかわかりません。

• 注：を使用しますDeep freeze。

この状況では、ディープフリーズの使用は無関係です。

それらが準能力がある場合、読み取り専用インターフェースを使用します。

最終アクセスのタイムスタンプは、読み取りおよび書き込みインターフェイスを使用している場合にのみ変更されます。書き込みインターフェイスをオフにするのは簡単です。これは、フォレンジックが行うことです。彼らは決して元のドライブを読み取り/書き込みインターフェイスに配置する。常に読み取り専用で。次に、作業コピーを作成します。元のドライブの単一ビットを変更せずにすべて。

最善の策は、BitlockerやTrueCryptなどのディスク暗号化を使用することです。

編集：

たくさん感謝しますが、読み取りおよび書き込みインターフェイスで何を意味するのかをもっと明確にしていただけますか??

これらのようなデバイス。。。

ドライブへの書き込みアクセスを物理的にブロックします。Amanda Knoxの場合のように、法的および実際的な理由で法医学/ HDリカバリでよく使用されます。

誰もが完全なディスク暗号化を選択しているようです。これは確かにデータを保護することにはメリットがありますが、誰かがあなたのマシンにいて、あなたのハードドライブを操作しているのかどうかを尋ねる問題には対処していません。

その簡単な作業のために、刺激的に粘着性のある普通のラベルのパックを見つけて、一度貼り付けたら、きれいに剥がれるのではなく引き裂き、名前に署名して、HDDを固定しているネジの1つに貼り付けます（忘れないでくださいしっかりと結合するために、まずほこりを取り除きます）。製造業者が明白なシールを改ざんするほど規模は大きくありませんが、知らないうちにハードドライブを取り外さないようにするのに十分なはずです。つまり、事実を警告するラベルを壊すか、ハードドライブからワイヤを引き出してラップトップにマウントする必要があります。

また、PCの背面で南京錠の取り付けポイントを確認する価値があります。シンプルで、かなり安全で効果的です。

データを取得することは不可能ではありませんが、かなりのレベルの不便さを追加し、攻撃者にあからさまに行動させる（ラベルとボルトカッターを南京錠に引きずり込む）か、PCで猿のようになり、検出のリスクにさらされる時間が長くなります。

物理レベルでの改ざんを発見するには、ドライブの取り付けハードウェアまたはデータケーブル接続のトルクシールなどを使用できます。ラッカーは脆く乾燥するため、改ざんがあれば、ハードウェアにインストールしたグロブが割れたり壊れたりします。ヘリコプターのナットやボルトのようなものが動かず、仕様どおりにトルクがかかっていることを確認するために使用されます。

SMART属性は、2つの間隔の間にディスクが改ざんされているかどうかを判断するのに役立ちます。Linuxでは、これらの属性は「smartctl -a / dev / sda」で照会できます。

そのための最も単純な属性は、おそらくPower_Cycle_Countです。コンピューターの電源を入れると、最後にシャットダウンしたときの値よりも1つ大きくなります。そのため、シャットダウンする前にこの値を記憶し、次回の電源投入時にこの値を確認することで、その間にディスクが起動されたかどうかを判断できます。

たぶん、SMART（利用可能な場合）には、使用できる情報が含まれています。

私は、ドライブの読み取りを防止し、誰かがそうしたかどうかを伝えることに悲観的ですので、暗号化も使用することをお勧めします。暗号化されたデータを誰かがコピーしたかどうかはまだわかりませんが、コピーした場合、破ることは困難です（そうすることを望みます）。

今、攻撃者は賢く、情報があり、時間、装備、お金を持っていますか？悪者がここで読んでいる場合、うまくいかない簡単なトリックは、あなたのドライブとシャーシに見づらく、簡単に折れる髪を刺すことです：データケーブルを渡って。

誰かがドライブを取り外した場合、彼はそれを言及せずに髪を壊します。彼がこのアドバイスを読んだことを除いて、非常に慎重に行動します。

彼が非常によく装備されているが、あなたもそうであるならば、あなたはあなたがDNAテストを実行する髪をとることができます。誰の髪の毛かは言わない。侵入者は、髪の毛をランダムな髪と交換するかもしれませんが、正しいDNAの髪と交換することはできません。しかし、多分彼は壊れた髪を一緒に接着する方法を知っていますか？または、彼は接着剤を溶かす方法を知っていますか？:)

侵入が疑われる前にコンピューター内に物事がどのように配置されていたかを正確に覚えていない限り（写真の記憶、または写真はすぐに思い浮かぶ2つのツールです）、ハードドライブが取り外されたかどうかを知ることは非常に困難ですコンピューターから。

注：シャーシイントルージョン機能は通常回避される可能性があるため、役立つ可能性はありますが、これは最も信頼できる方法ではない可能性があります。

これを行う方法を知っている侵入者は、ディスクを一切変更せず、必要なファイルのみをコピーするか、ディスク全体をコピーして「スヌープする」ことができるほど賢いかもしれませんしばらくしてからの余暇に。

肝心なのは、誰かがあなたのハードドライブにアクセスすることを本当に心配しているなら、予防的でなければならないということです。危険からコンピュータを物理的に取り外すことが実行可能なオプションではない場合、暗号化は非常にうまく機能します。これは私のお気に入りのディスク暗号化ツールです。

  TrueCrypt（無料でオープンソース）
  http://www.truecrypt.org/

このツールで特に気に入っているのは、組み込みのバックドアがないため、暗号化キーを保護するための適切な措置を講じた場合、裁判所命令でも解読されないことです。

このツールがあなたの状況にどのように関連しているか：

ハードドライブが暗号化されており、侵入者がデータにアクセスする目的でコンピューターから削除した場合、暗号化されたデータのみが検出されます（最初はオペレーティングシステムが「初期化されていないディスク」として検出する可能性が高い）ほぼ全員にとって、ランダムな情報のように見えます。

侵入者がデータにアクセスする2つの方法は次のとおりです。

1. パスワードでの「ラッキーな推測」（ブルートフォース攻撃ツールを使用しても推測が困難な適切なものを選択）またはキー（非常に可能性は低いが、完全に不可能ではない）

2. 侵入者にパスワードまたはキーのコピーを提供しました（意図的または意図せず）

平均的な家庭用コンピューター（特別な物理的セキュリティなし）では、マシンがシャットダウンしても、ハードウェアで行われたアクティビティの痕跡は残りません。

ディスクが取り外され、読み取り専用でマウントされた場合、これがソフトウェアを使用して行われたことを識別することは非常に困難です。

頭に浮かぶのは、そのようなアクティビティ中にディスクが書き込み可能で、ホストOSがディスク（ファイル、ディレクトリ）のタイムスタンプを更新した場合、ディスクがシステムの外部で物理的にアクセスされたことを検出できる場合があることです。これには、他のシステムの時刻も正しく設定されていて（ユーザーが読み取り専用マウントを考えていなかった場合の合理的な期待値）、システムに電源が投入されると予想される時間枠がわかっているなど、さまざまな注意事項がありますダウン（したがって、そのウィンドウのアクセス時間は疑わしい）。

そのようなデータを使用可能にするには、「フォレンジック」が完了していない間に書き込みアクセスなしでディスクをマウントする必要があります。その後、個々のファイルおよびディレクトリのアクセス時間を読み取って、何が見られたか（読み取りまたはコピーアウト）を特定できる場合があります。

今、これがデータ盗難の将来の可能性のためである場合、前もって計画することは非常に簡単です-すべての重要なデータを暗号化するだけです。

ここで本当の問題を単純に回避しているのではないでしょうか？

生まれたばかりの子供のように、私たちはアクセス可能な場所にPCを放置しないでください！ノートブックは今どこにありますか？セキュリティは私たちから始まり、事後ではありません。

個人データにはある程度の妄想が伴います。システムに残しておくと、盗まれることを恐れます。データがそれほど重要な場合は、作成/取得したらすぐに、安全なストレージデバイス（暗号化されたSDフラッシュデバイス）に削除します。このデバイスはいつでもあなたと一緒にいられます。

現在のコンピューターテクノロジーは、物理ストレージデバイス上のデータの改ざんを検出しません。このようなセキュリティの欠如により、私のようなPC技術者は、ウイルス/マルウェアの損傷が発生した場合にユーザーデータを回収できます。将来、ストレージデバイスに実行中のセキュリティプログラムが組み込まれると、デバイス自体が改ざんされたことを認識します。

責任を持ってデータを取得してください！誰かのアクセスを許可する場合、悪用されても文句を言うことはできません！

投稿された質問に対する直接的な回答として。今日、いいえ、誰かがあなたのファイルを削除して単純にコピーしたかどうかを判断することはできません。

聞いてくれてありがとう。

多くの新しいコンピューターでは、ハードドライブ自体をパスワードで保護できます。BIOS設定になります。ドライブの電子機器を介して保護が実施されるため、別のマシンではアクセスが拒否されます。

暗号化は、必要な場合は良い考えですが、多くのコンピューターの問題から回復することもできないことを忘れないでください。また、ハードドライブが故障し始めた場合、暗号化されたディスクからファイルを回復することはできません。したがって、適切なバックアップがあることを確認してください。また、暗号化されたディスクのディスクイメージは暗号化されたままであり、必要に応じて新しいドライブに復元できます。

Windowsの組み込みEFS（暗号化ファイルシステム）は、個々のファイルとフォルダーに使用できます。また、無料のWindows BitLocker暗号化ツールは、ドライブ全体を暗号化できます。