আমার একটি ইউএসবি ফ্ল্যাশ ড্রাইভ রয়েছে এবং আমি বিশ্বাস করি যে অন্য কেউ হয়তো এটি তাদের কম্পিউটারে প্লাগ করে কিছু ফাইল অনুলিপি করেছেন।

আমার ম্যাক ব্যবহার করে, আমি কীভাবে জানতে পারি যে কখন আমার ইউএসবি ফ্ল্যাশ ড্রাইভটি প্লাগ ইন করা হয়েছিল?

সেরা প্রমাণ আপনি পেতে পারে পরিদর্শন করা হয় গত এক্সেস সময় প্রশ্নে ফাইল, অথবা সম্ভবত ফাইল সিস্টেমে টপ লেভেল ডিরেক্টরি গত এক্সেস সময়।

তবে প্রথমে কিছুটা ব্যাকগ্রাউন্ড। একটি ইউএসবি ফ্ল্যাশ ড্রাইভ অনেকটা ডিস্কের মতো কম্পিউটার দ্বারা চিকিত্সা করা হবে। ড্রাইভ (বা, আরও স্পষ্টভাবে, ড্রাইভের মধ্যে প্রধান পার্টিশন) একটি ফাইল সিস্টেম হিসাবে ফর্ম্যাট করা হবে। বেশিরভাগ ফ্ল্যাশ মিডিয়া বাক্সের বাইরে ভিএফএটি ফাইল সিস্টেমের সাথে ফর্ম্যাট হয়, যা সর্বনিম্ন-সাধারণ-ডিনোমিনেটর সমাধান যা ওএস এক্স, উইন্ডোজ, লিনাক্স এবং ডিজিটাল ক্যামেরা সহ প্রায় সব ডিভাইস নিয়ে কাজ করে। ভিএফএটির পরবর্তী সম্ভাব্য বিকল্পগুলি হ'ল এইচএফএস + (ওএস এক্সের নেটিভ ফাইল সিস্টেম, যা উইন্ডোজ একেবারেই সমর্থন করে না) বা এনটিএফএস (উইন্ডোজের নেটিভ ফাইল সিস্টেম, উইন্ডোজের কোনও সংস্করণ দ্বারা সমর্থিত এই শতাব্দীতে প্রকাশিত হয়েছিল, তবে যা ওএস এক্স-এ কেবল পঠনযোগ্য সমর্থন রয়েছে এবং এটি ডিজিটাল ক্যামেরায় খুব কমই সমর্থিত)।

এই ব্যাকগ্রাউন্ডটি প্রাসঙ্গিক কারণ বিভিন্ন ফাইল সিস্টেমগুলি সর্বশেষ অ্যাক্সেসের সময়টিকে আলাদাভাবে সঞ্চয় করে। আপনার ইউএসবি স্টিকটি ভিএফএটি দিয়ে ফর্ম্যাট করা হয়েছে এই ধারণা নিয়ে আমি কাজ করতে যাচ্ছি। এটি গুরুত্বপূর্ণ কারণ ভিএফএটি ফাইল সিস্টেমগুলি কেবলমাত্র শেষ সময় অ্যাক্সেসের তারিখ সঞ্চয় করে , দিনের নয়। এটিই সর্বোত্তম প্রমাণ হবে যা আপনি সংগ্রহ করার আশা করতে পারেন, ধরে নিলেন যে সমস্ত কিছু ঠিক আছে।

ফাইন্ডারে শেষ অ্যাক্সেসের তারিখগুলি দেখতে ,

1. তালিকার দৃশ্যে স্যুইচ করুন (তালিকা হিসাবে তালিকা দেখুন ()2))
2. ভিউ অপশন ডায়ালগটি দেখান (দেখুন → প্রদর্শন বিকল্পগুলি (⌘J))
3. "সর্বশেষ খোলার তারিখ" নির্বাচন করুন

বিকল্পভাবে, ফাইন্ডার ব্যবহারের পরিবর্তে, আপনি টার্মিনালটি চালানোর জন্য ব্যবহার করতে পারেন

stat -x /Volumes/USB-Stick-Name/Path/To/File

একটি নির্দিষ্ট ফাইল অ্যাক্সেস সময় দেখতে।

কিছু গুরুত্বপূর্ণ সতর্কতা আছে, যদিও!

প্রথমত, আপনার ম্যাকের মিডিয়ায় প্লাগিংয়ের কাজটি এটি স্বয়ংক্রিয়ভাবে মাউন্ট হওয়ার কারণ হবে, ফলে শীর্ষ স্তরের ডিরেক্টরিটির শেষ অ্যাক্সেসের সময় পরিবর্তন হবে (এবং সম্ভবত এটির চেয়ে আরও প্রমাণ নষ্ট হবে)। একটি ফরেনসিক বিশ্লেষণের জন্য যেমন পঠনযোগ্য মোডে মিডিয়াকে মাউন্ট করার মতো সতর্কতা থাকা দরকার। অতএব, আপনাকে ওএস এক্স-এর স্বতঃ-মাউন্টিং আচরণটি দমন করতে হবে , এটি এত সহজ নয়।

দ্বিতীয়ত, আপনার সন্দেহভাজন সহকর্মী / গুপ্তচর মিডিয়া কেবল পঠনযোগ্য মাউন্ট করার অনুরূপ প্রতিরোধ গ্রহণ করতে পারে, সুতরাং প্রমাণ হিসাবে কোনও টাইমস্ট্যাম্প ছাড়েনি। (গুপ্তচর যে কম্পিউটারটি ব্যবহার করেছিল তার কম্পিউটারটি তার ঘড়িটি সঠিকভাবে সেট করেছিল যে কোনও টাইমস্ট্যাম্পের বৈধতা নিয়ে সন্দেহ পোষণ করবে এমন কোনও গ্যারান্টিও নেই)

গল্পটির নৈতিকতা হ'ল, যদি আপনার অপসারণযোগ্য মিডিয়ায় কোনও সংবেদনশীল তথ্য থাকে তবে এটি এনক্রিপ্ট করুন! সবচেয়ে সহজ সমাধান হ'ল ফাইলওয়াল্ট 2 ব্যবহার করা । তবে নোট করুন, এই জাতীয় এনক্রিপশন ম্যাক ব্যতীত অন্য কোনও মেশিনে ইউএসবি স্টিকটিকে অপঠনযোগ্য করে তুলবে।

আপনার ইউএসবি ডিভাইস কেবলমাত্র পঠন করুন Mount

এর জন্য সবচেয়ে সহজ উপায়টি ডিস্ক আরবিট্রেটর ইনস্টল এবং এটি কনফিগার করে যাতে কোনও ডিভাইস কেবল পঠনযোগ্য হিসাবে মাউন্ট করতে পারে consists

Disk-Arbitratorমেনু বারের আইকনে লাল স্যুইচ করা উচিত নয়।

আপনার ইউএসবি ডিভাইসটি প্লাগ করুন। এখন কোনও ঝুঁকি নেই যে আপনি অযত্নে এটিতে কোনও অ্যাক্সেসের সময় সংশোধন করেন।

অ্যাক্সেস বার অনুসন্ধান করুন

ধরা যাক যে আপনার ইউএসবি ডিভাইসটি মাউন্ট হয়েছে suspicious_USB।

একটি Terminalবা xtermউইন্ডো খুলুন । ধরা যাক যে আপনি নিশ্চিত যে আপনি 20 দিন থেকে কোনও ইউএসবি ডিভাইস কোনও কম্পিউটারে মাউন্ট করেন নি। আপনার কমান্ড লাইন উইন্ডোতে, নিম্নলিখিত কমান্ডগুলি চালান:

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

এই কমান্ডটি আপনাকে এমন কোনও ফাইল (এমনকি গোপনীয়) প্রদর্শন করবে যা কোনও অপারেটিং সিস্টেম 21 দিনেরও কম সময়ের মধ্যে খোলা থাকতে পারে। এই কমান্ডের আউটপুট আপনাকে যে কোনও পঠিত বা কেবল স্পর্শ করা ফাইল বা ফোল্ডারের বিশদ শেষ অ্যাক্সেসের সময় প্রদর্শন করবে। উদাহরণস্বরূপ এই কমান্ডটি আপনাকে দেখাবে যে কোনও ফোল্ডার সহজভাবে খোলা হয়েছিল। এই কমান্ডটি আপনাকে দেখাবে যে স্পটলাইট আপনার ইউএসবি কীতে চলেছে।

যদি আপনি কিছু খুঁজে পান তবে আপনি জানতে পারবেন কখন আপনার ইউএসবিটি পড়া হয়েছিল।

ওয়ারেন্টি সীমাবদ্ধতা

যদি আমাদের সন্দেহভাজন সহকর্মী বা আক্রমণকারী এই ডকুমেন্টটি পড়ার মতো দক্ষ এবং এটি কীভাবে ব্যবহার করতে হয় তা বুঝতে সক্ষম হন তবে তিনি সম্ভবত আপনার ইউএসবি ডিভাইসটি কেবল পঠন করতে পারেননি। তাই তিনি এটিকে কোনও অ্যাক্সেস সময় পরিবর্তন থেকে পরিষ্কার রেখে দিতেন।

এক্ষেত্রে আপনার ইউএসবি ডিভাইসে কিছু ফাইল পড়েছে তা দেখানোর আমার কাছে একেবারেই কোনও পদ্ধতি নেই :(।

• আপনার কনসোলটি খুলুন
• নির্বাচন করা system.log
• অনুসন্ধান ফলকে (উপরের ডানদিকে কোণায়) নিম্নলিখিত প্রশ্নের সাথে টাইপ করুন: ইউএসবিএমএসসি
• এরকম কিছু দেখতে পাবেন kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
• তারিখ এবং সময় পাশাপাশি দেখানো হয়। এটি আপনাকে সর্বশেষ সময় (গুলি) জানতে দেবে যে কোনও ডিভাইস কোনও নির্দিষ্ট ইউএসবি বাসের সাথে সংযুক্ত ছিল।

"যে কোনও ইউএসবি ডিভাইস" এর জন্য এটি অবশ্যই সম্ভব নয়, কারণ যোগাযোগটি আদর্শ standard
ইউএসবি ফ্ল্যাশ ড্রাইভের জন্য, আপনি পৃথক ফাইলগুলির অ্যাক্সেসের তারিখগুলি পরীক্ষা করার চেষ্টা করতে পারেন (এটির উপর নির্ভর করে না, প্রায়শই যাইহোক ব্যবহৃত হয় না, এবং আপনার নিজের চেক আপনি সাবধান না হলে তারিখগুলি ওভাররাইট করতে পারে), বা আপনার ফাইল উপস্থিতি আপনি জানেন না যে আপনার কম্পিউটারটি সেখানে রাখতে পারেনি (যেমন উইন্ডোজের জন্য thumbs.db বা RECYCLED, .DD_Store বা। ম্যাকের জন্য ট্র্যাশ)।

একটি সাধারণ ভোক্তা পণ্যতে এই বৈশিষ্ট্যটি থাকার খুব কমই দরকার। এমনকি এটি ডিভাইসের ফার্মওয়্যারের মধ্যে সঞ্চয় করা থাকলেও এটি হোস্ট কম্পিউটারের ঘড়ির উপর নির্ভরশীল।

বেলার্ক উপদেষ্টা ব্যবহার করুন ... এটি প্রশাসনিক সুবিধাগুলি দিয়ে চালান ... যখন ইউএসবি স্টোরেজটির জন্য অনুসন্ধান শেষ হয় 30 দিনের মধ্যে ব্যবহার করুন ... সেখানে আপনি ইউএসবি টাইপ দেখতে পারবেন এবং শেষবার কখন ব্যবহার করবেন ...