mikrocontroller.net

Forum: PC Hard- und Software Win7 - Dateiaufrufe im Nachhinein feststellen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Rolf (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo,
jemand hat sich meines Laptops bemächtigt und behauptet nun, ihn aus 
Versehen an sich genommen zu haben.

Wenn ich den Laptop wieder zurückbekommen habe, würde ich gerne 
feststellen, ob dieser Jemand irgendetwas auf dem Gerät gemacht hat.
Also ob irgendwelche Dateien aufgerufen, gelöscht oder hinzugefügt 
wurden (habe leider auch ein paar mehr oder weniger sensible Daten auf 
dem Gerät).

Könnte man grundsätzlich auch rausfinden, ob die Festplatte des Geräts 
ganz oder in Teilen kopiert wurde bzw. ob einzelne Dateien direkt von 
der Festplatte runtergezogen wurden (also erst Fesplatte ausgebaut, dann 
an einem anderen Gerät Daten runtergesaugt und dann Festplatte wieder 
eingebaut)?

von Erwin D. (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Rolf schrieb:
> die Festplatte des Geräts

Wenn jemand die Festplatte ausgebaut hat und diese dann mit einem 
USB-Adapter (oder einem anderen Rechner) ausgelesen hat, dann kannst du 
das logischerweise nicht feststellen. Denn dafür müßte die Festplatte 
selbst alle Zugriffe speichern. Wenn die Festplatte allerdings in deinem 
Laptop drin blieb, könnte man einiges anhand des Ereignisprotokolls 
nachvollziehen. Aber ich glaube nicht, daß du alles bemerkst, was 
Zugriffe betrifft.

von A. K. (prx)


Bewertung
6 lesenswert
nicht lesenswert
Wichtig: Wenn es ernst ist, solltest du nach Rückgabe vor dem ersten 
Start des Betriebssystems eine 1:1 Kopie der Disk erstellen, auf andere 
Disk oder auf Image-File. Beispielsweise mit Clonezilla von CD/USB 
gestartet.

Es lässt sich feststellen, wann ein File zuletzt gelesen wurde, 
vorausgesetzt dies geschah auf normalem Weg bei einem von dieser Disk 
gestarteten System, ohne den Zugriff zu tarnen. Ist eine ganz normale 
Dateieigenschaft. Du solltest natürlich darauf verzichten, es davor 
selbst zu lesen.

Es lässt sich feststellen, wann das Gerät hoch- und runtergefahren 
wurde. An/Abmeldung ebenso. Steht in den Windows Protokollen.

Es lässt sich nicht feststellen, ob eine Disk offline 1:1 kopiert wurde. 
Man muss die Disk dazu auch nicht ausbauen.

: Bearbeitet durch User
von Udo S. (urschmitt)


Bewertung
6 lesenswert
nicht lesenswert
Wenn deine Daten so vertraulich sind, solltest du deine Festplatte 
verschlüsseln.

https://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung

von Eric (Gast)


Bewertung
-11 lesenswert
nicht lesenswert
Unter Linux: ls -l --time=atime

Windows kann sowas vermutlich nicht. Also beim nächsten Mal gleich ein 
anständiges Betriebssystem installieren :)

von A. K. (prx)


Bewertung
3 lesenswert
nicht lesenswert
Eric schrieb:
> Unter Linux: ls -l --time=atime

Unter Windows: dir /ta

von andy (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Und wenn derjenige ein Live-System benutzt hat, dann wird man auch 
nichts feststellen können, höchstens aber die Daten, die evtl. verändert 
wurden.

von A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Eric schrieb:
> Also beim nächsten Mal gleich ein
> anständiges Betriebssystem installieren :)

In Linux werden Filesysteme heute oft in Standardeinstellung mit 
"relatime" gemountet, was die Aussagekraft der accessed timestamp 
deutlich reduziert. SSD-Angsthasen verwenden gerne "noatime", wodurch 
sie komplett deaktiviert wird. Als Troll sollte man wenigstens sein 
eigenes System kennen.

: Bearbeitet durch User
von Eric (Gast)


Bewertung
-4 lesenswert
nicht lesenswert
A. K. schrieb:
> Als Troll sollte man wenigstens sein eigenes System kennen.

Nun, das kenne ich bereits seit den ersten Stunden und habe auch heute 
noch beruflich täglich damit zu tun.

von Peter D. (pedre)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Es lässt sich feststellen, wann ein File zuletzt gelesen wurde,
> vorausgesetzt dies geschah auf normalem Weg bei einem von dieser Disk
> gestarteten System, ohne den Zugriff zu tarnen. Ist eine ganz normale
> Dateieigenschaft.

Diese Funktion ist aber schon seit Windows Vista standardmäßig 
deaktivert.

Peter

von Bernd K. (prof7bit)


Bewertung
3 lesenswert
nicht lesenswert
Betrachte den ganzen Laptop und alle Daten darauf als kompromittiert 
und/oder sämtlichen Gegenparteien kenntlich geworden. Du hast nun keine 
andere Wahl als noch heute Nacht alle Zelte abzubrechen und woanders ein 
komplett neues Leben anzufangen. Und dabei achtest Du dann darauf Deine 
Festplatten immer zu verschlüsseln damit sich so etwas nicht wiederholt.

Beitrag #6134324 wurde vom Autor gelöscht.
von georg (Gast)


Bewertung
-3 lesenswert
nicht lesenswert
Eric schrieb:
> Windows kann sowas vermutlich nicht. Also beim nächsten Mal gleich ein
> anständiges Betriebssystem installieren :)

Hetzen, aber keine Ahnung von garnichts. Typisch Linuxuser.

Georg

von A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Peter D. schrieb:
> Diese Funktion ist aber schon seit Windows Vista standardmäßig
> deaktivert.

Hast recht. Aber an der einzige Stelle, wo ich das in den letzten Jahren 
brauchte, Fileservice@work, ist es aktiv.

von MeierKurt (Gast)


Bewertung
4 lesenswert
nicht lesenswert
Rolf schrieb:
> Hallo,
> jemand hat sich meines Laptops bemächtigt und behauptet nun, ihn aus
> Versehen an sich genommen zu haben.
>
Theoretisch möglich, die Dinger sehen heutzutage - gerade in Firmen - 
ziemlich gleich aus.

> Wenn ich den Laptop wieder zurückbekommen habe, würde ich gerne
> feststellen, ob dieser Jemand irgendetwas auf dem Gerät gemacht hat.

Das hätte nur Sinn, wenn derjenige den Laptop unter Win von der Platte 
gestartet hätte.
Wenn dir jemand wirklich und vorsätzlich Daten abziehen will, oder 
einfach nur unheilbar neugierig ist, (und kein Idiot ist), hätte er das 
mit einem Systemstart vom USB-Stick versucht - dafür gibts eine Menge 
guter Gründe und der Vorbereitungsaufwand dafür ist überschaubar.

> Also ob irgendwelche Dateien aufgerufen, gelöscht oder hinzugefügt
> wurden (habe leider auch ein paar mehr oder weniger sensible Daten auf
> dem Gerät).
>
Dann wirds interessant: Daten, die in den Geltungsbereich der DSGVO 
fallen? Dann ist sowas meldepflichtig, angefangen beim DSB der Firma... 
Jedenfalls wenn es ganz genau genommen wird.

> Könnte man grundsätzlich auch rausfinden, ob die Festplatte des Geräts
> ganz oder in Teilen kopiert wurde bzw. ob einzelne Dateien direkt von
> der Festplatte runtergezogen wurden (also erst Fesplatte ausgebaut, dann
> an einem anderen Gerät Daten runtergesaugt und dann Festplatte wieder
> eingebaut)?

Nein - jedenfalls wenn es sorgfältig geschieht.
Wie soll das gehen?
Wenn du bspw. mit einem externen System die (ausgebaute) Festplatte 
Sektor für Sektor kopierst, meinst du, das "siehst" du der kopierten 
Platte an? Wo soll die all die Sektor-Zugriffe abspeichern? Und wozu?

Aus deinem Post entnehme ich, dass du zwar sensible Daten auf einem 
mobilen Rechner speicherst - und mit dir ggf. herumträgst, diese aber 
absolut ungeschützt lässt?
Merkst du hoffentlich selber, dass das ne ganz schlechte Idee ist - 
egal, ob es sich um ein Firmenumfeld oder "nur" Privatkram angeht.
Das fängt damit an, dass man alle Dateien, von denen man nicht möchte, 
dass sie unkontrolliert gelesen werden können, verschlüsselt - als 
unterste Stufe der Sicherheit.

von oszi40 (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Rolf schrieb:
> Könnte man

1.Alles sieht man nicht, aber Ereignisprotokolle könnte man WENN das 
System lief lesen. Da siehst Du mindestens wann er Deine Kiste benutzt 
hat.
2. dir /? zeigt die möglichen Optionen
Der Rest ist Deiner Klugheit überlassen. Punkt.

von herbert (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Rolf...du fragst da Dinge, die sind für Täter und Opfer gleichermaßen 
interessant...und wichtig...Und...wichtig gerade bei Läppis wäre bei 
sensiblen Daten eine Verschlüsselung...ohne wenn und aber...und 24/7.

von Rolf (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Vielen Dank für die rege Anteilnahme!

Dann erstelle ich erst mal mit MinitoolShadowmaker einen 
Festplattenspiegel, bevor ich den Laptop starte, wenn er wieder hier 
ist.

Alles weitere wird sich zeigen und wenn ich Fragen habe, werde ich sie 
hier noch posten.

Noch mal vielen Dank an alle, die geantwortet haben!

von michael_ (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Bernd K. schrieb:
> Betrachte den ganzen Laptop und alle Daten darauf als kompromittiert
> und/oder sämtlichen Gegenparteien kenntlich geworden.

Ja.
Aber wenn es ein normaler PC-Dummling ist, wird nichts passiert sein.
Vorausgesetzt, du hast dich wenigstens auf dein Konto mit Password 
eingeloggd.

Falls es ein Firmenlaptop ist, dann übergebe den wie genannt deinem 
IT-Verantwortlichen.

von Bernd K. (prof7bit)


Bewertung
0 lesenswert
nicht lesenswert
michael_ schrieb:
> Ja.
> Aber wenn es ein normaler PC-Dummling ist, wird nichts passiert sein.

Schon ein 8 Stunden liegengelassenes Nokia-Handy (noch nicht mal 
Smartphone) kann bereits das Ende einer Ehe katalysieren! Vor diesem 
Hintergrud möchte ich mir gar nicht ausmalen was ein um das tausendfache 
leistungsfähigerer Laptop heutzutage für ein Unheil anrichten kann.

von TR.OLL (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Deswegen sollte man die Datenmverschlüsseln.
Und aktuelle Backups haben.

von Christian (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rolf schrieb:
> Wenn ich den Laptop wieder zurückbekommen habe, würde ich gerne
> feststellen, ob dieser Jemand irgendetwas auf dem Gerät gemacht hat.
> Also ob irgendwelche Dateien aufgerufen, gelöscht oder hinzugefügt
> wurden (habe leider auch ein paar mehr oder weniger sensible Daten auf
> dem Gerät).
>
> Könnte man grundsätzlich auch rausfinden, ob die Festplatte des Geräts
> ganz oder in Teilen kopiert wurde bzw. ob einzelne Dateien direkt von
> der Festplatte runtergezogen wurden (also erst Fesplatte ausgebaut, dann
> an einem anderen Gerät Daten runtergesaugt und dann Festplatte wieder
> eingebaut)?

Versuch mal dein Glück mit LastActivityView von Nirsoft.

Zitat:

LastActivityView selbst überträgt keine Daten ins Internet, es zeigt dem 
Nutzer lediglich, welche Daten regelmäßig von Windows-Betriebssystemen 
protokolliert werden. Mit diesen Protokollen kann nahezu jeder 
Handgriff, der mit dem PC gemacht wurde, auch weit im Nachhinein noch 
Jahre zurück verfolgt werden. Angefangen von der Installation mit Datum- 
und Zeitangabe, bis hin zu den Dateien, die man jemals mal geöffnet oder 
gespeichert hat. Auch dann noch, wenn diese Dateien schon lange gelöscht 
wurden. Zudem das Starten und Herunterfahren des PCs, das 
Ein-/Ausschalten des Netzwerks und vieles mehr. Damit kann die 
PC-Nutzung detailliert nachvollzogen werden.

Quelle: http://afug-info.de/Verschiedenes/Virenscanner/

von A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Mit Auditing kann man alles mitkriegen. Bringt aber nichts, den Stall 
zuzusperren, nachdem der Gaul schon weg ist. Denn Auditing ist nicht 
automatisch aktiv.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.