1 votes

Elliptical view avatar

Quelqu'un a copié des fichiers de mon Mac ?

Demandé el 2 de Avril, 2018
Quand la question a-t-elle été
9021 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je me suis absenté brièvement de mon Macbook Air (Yosemite) et j'ai soupçonné que quelqu'un avait copié des fichiers de mon Mac. Voici ce que je peux voir du system.log sous la console /var/log. Des experts pourraient-ils me dire si ce journal " (non-unique) : 000000000820 " peut être le signe que quelqu'un a branché une clé USB ? Que dois-je rechercher pour savoir quel répertoire de fichiers a pu être volé ?

_____________________BEGIN______________________

Mar 31 21:18:41 This mac kernel[0]: USBMSC Identifier (non-unique): 000000000820 0x5ac 0x8406 0x820, 3
Mar 31 21:18:41 This mac kernel[0]: en0: channel changed to 1
Mar 31 21:18:41 This mac.local FinderSyncAPIExtension[1051]: Pipe path is a symbolic link, connecting to target.
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe
Mar 31 21:18:41 This mac kernel[0]: IOBluetoothUSBDFU::probe ProductID - 0x828F FirmwareVersion - 0x0103
Mar 31 21:18:41 This mac kernel[0]: **** [IOBluetoothHostControllerUSBTransport][start] -- completed -- result = TRUE -- 0xb000 ****
Mar 31 21:18:41 This mac kernel[0]: **** [BroadcomBluetoothHostControllerUSBTransport][start] -- Completed (matched on Device) -- 0xb000 ****
Mar 31 21:27:27 This mac kernel[0]: USB (XHCI Root Hub USB 2.0 Simulation):Port 12 on bus 0xa connected or disconnected: portSC(0xe4202a0)
Mar 31 21:27:27 This mac kernel[0]: The USB device Card Reader (Port 3 of Hub at 0x15000000) may have caused a wake by being disconnected
Demandé el 2 de Avril, 2018 par Elliptical view

Réponses

Trop de publicités?

3voto

Jason avatar
Jason Points 329

Voici la commande permettant de générer une liste de tous les fichiers accédés au cours des 72 dernières heures :

sudo find / -atime -72h -ls > output.txt

A partir de là, vous pouvez lancer 'stat' sur chaque fichier pour obtenir le temps d'accès.

cat output.txt | while read in; do stat; done > accessTimes.txt

Vous pouvez restreindre votre recherche à une plage de dates/heures spécifique via un éditeur de texte ou la commande grep.

grep "Mar 31 21:" accessTimes.txt

Cela peut ne pas suffire à prouver un quelconque acte répréhensible, mais cela peut le réfuter si aucun fichier n'a été consulté pendant la période concernée. Cela donne également une idée de ce qui a pu être consulté.

Répondu el 2 de Avril, 2018 par Jason (329 Points )

2voto

Jose Chavez avatar
Jose Chavez Points 645

L'autre message, affirmant qu'il est impossible de savoir ce qu'est ce dispositif, est incorrect.

La ligne que vous indiquez "USBMSC Identifier (non-unique) : 000000000820 0x5ac 0x8406 0x820, 3" vous indique en fait exactement de quel type de périphérique il s'agit :

Le numéro 0x5ac est un Vendor ID qui vous indique que l'appareil a été fabriqué par Apple Inc.

Le numéro 0x8406 est un identifiant de produit qui vous indique que le périphérique est le lecteur de carte SDXC intégré à l'ordinateur portable.

Le numéro 0x820 est le numéro de série, qui est toujours ce numéro pour tous les lecteurs de cartes SDXC d'Apple.

Le chiffre 3 est le numéro de révision, ce qui signifie que ce lecteur de carte est une révision 3.00.

Cela signifie que le dispositif qui s'est connecté est le lecteur de carte SDXC interne de l'ordinateur portable. Normalement, ce périphérique est toujours connecté, mais il peut être déconnecté si, par exemple, l'ordinateur portable est mis en veille.

Cela signifie que personne n'a branché de clé USB externe sur votre ordinateur portable. Le lecteur de carte SDXC interne a simplement communiqué avec le processeur hôte, ce qu'il fait en permanence.

Répondu el 4 de Février, 2020 par Jose Chavez (645 Points )

0voto

Douglas avatar
Douglas Points 10417

A partir de ce journal, tout ce que vous pouvez dire c'est qu'un périphérique USB a été connecté ou déconnecté. Ça pourrait être une clé USB, mais là encore, cette clé pourrait être en train de se mettre en veille. Quelqu'un a pu brancher un iPhone pour le charger. Le fait est qu'il est impossible de savoir.

Même si une clé USB a été branchée, il n'y a aucun moyen de savoir si des fichiers ont été copiés depuis votre machine. Pour savoir si des fichiers ont effectivement été copiés depuis (ou vers) votre ordinateur, vous avez besoin d'une clé USB. journal d'audit . Apple en fournit un mais il est désactivé par défaut.

Voir ce billet sur OpenBSM .

Répondu el 2 de Avril, 2018 par Douglas (10417 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X