8 votes

Existe-t-il un moyen de savoir quand une clé USB a été utilisée pour la dernière fois (sur n'importe quel ordinateur) ?

J'ai une clé USB et je pensais que quelqu'un d'autre avait pu la brancher sur son ordinateur et copier des fichiers.

Avec mon Mac, comment puis-je savoir quand ma clé USB a été branchée pour la dernière fois ?

0 votes

Bonjour @gun, je pense que ce que vous recherchez n'est malheureusement pas possible. Puis-je confirmer que ce que vous cherchez à faire est de savoir si quelqu'un d'autre a utilisé votre clé USB, et que vous craignez qu'il ait accédé à certains des fichiers que vous aviez sur cette clé ? Je pense que la réponse ci-dessous montre comment savoir quand quelqu'un a branché une clé USB sur votre ordinateur pour la dernière fois.

3voto

200_success Points 923

La meilleure preuve que vous puissiez obtenir est d'inspecter le dernière heure d'accès des fichiers en question, ou peut-être la dernière heure d'accès au répertoire de premier niveau du système de fichiers.

Mais tout d'abord, un peu d'histoire. Une clé USB est traitée par l'ordinateur de la même manière qu'un disque. La clé (ou, plus précisément, la partition principale de la clé) serait formatée comme un système de fichiers. La plupart des supports flash sont formatés d'origine avec un système de fichiers VFAT, qui est la solution la plus courante et qui fonctionne avec presque tous les appareils, y compris OS X, Windows, Linux et les appareils photo numériques. Les alternatives les plus probables à VFAT seraient HFS+ (le système de fichiers natif d'OS X, que Windows ne prend pas du tout en charge) ou NTFS (le système de fichiers natif de Windows, pris en charge par toutes les versions de Windows publiées au cours de ce siècle, mais qui n'est pris en charge qu'en lecture seule dans OS X et qui est rarement pris en charge par les appareils photo numériques).

Ce contexte est important car les différents systèmes de fichiers enregistrent différemment le dernier temps d'accès. Je vais partir du principe que votre clé USB est formatée en VFAT. C'est important car Les systèmes de fichiers VFAT ne conservent que la date du dernier accès. et non l'heure de la journée. Ce serait la meilleure preuve que vous puissiez espérer recueillir, en supposant que tout le reste se passe bien.

Voir les dernières dates d'accès dans le Finder ,

  1. Passer à l'affichage sous forme de liste (View as List (2))
  2. Afficher la boîte de dialogue Options d'affichage (View Show View Options (J))
  3. Sélectionnez "Date de la dernière ouverture"

Au lieu d'utiliser le Finder, vous pouvez également utiliser le Terminal pour exécuter les commandes suivantes

stat -x /Volumes/USB-Stick-Name/Path/To/File

pour connaître le temps d'accès d'un fichier particulier.


Il y a cependant quelques mises en garde importantes à faire !

Tout d'abord, le fait de brancher le support sur votre Mac entraînera son montage automatique, ce qui modifiera l'heure du dernier accès au répertoire de premier niveau (et détruira peut-être encore plus d'éléments de preuve). Une analyse judiciaire devrait nécessiter des précautions telles que le montage du support en mode lecture seule. Par conséquent, vous devez supprimer le comportement de montage automatique d'OS X ce qui n'est pas si facile.

Deuxièmement, votre collègue/espion présumé aurait pu prendre une contre-mesure similaire en montant le support en lecture seule, ne laissant ainsi aucun horodatage comme preuve. (Rien ne garantit non plus que l'ordinateur utilisé par l'espion avait une horloge réglée avec précision, ce qui mettrait en doute la validité de l'horodatage).

La morale de l'histoire est la suivante : si vous avez des informations sensibles à stocker sur des supports amovibles, cryptez-les ! La solution la plus simple consiste à utiliser FileVault 2 . Notez toutefois qu'un tel cryptage rendrait la clé USB illisible sur toute machine autre qu'un Mac.

2voto

Rich Points 2429

Monter votre périphérique USB en lecture seule

Pour cela, la méthode la plus simple consiste à installer Arbitre du disque et en le configurant de manière à ce que tout périphérique ne soit monté qu'en lecture seule.

Disk-Arbitrator_setting

Les Disk-Arbitrator L'icône de la barre de menu doit passer au rouge.

Branchez votre périphérique USB. Il n'y a désormais plus aucun risque que vous modifiiez par inadvertance un temps d'accès sur celui-ci.

Recherche de temps d'accès

Supposons que votre périphérique USB soit monté en tant que suspicious_USB .

Ouvrir un Terminal ou xterm fenêtre. Supposons que vous soyez certain de ne pas avoir monté votre périphérique USB sur un ordinateur depuis 20 jours. sur aucun ordinateur depuis 20 jours. Dans votre fenêtre de ligne de commande, exécutez les commandes suivantes :

cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;

Cette commande affiche tous les fichiers (même ceux qui sont cachés) qu'un système d'exploitation a pu ouvrir dans un délai de moins de 21 jours. La sortie de cette commande affichera l'heure détaillée du dernier accès de tout fichier ou dossier lu ou simplement touché. Par exemple, cette commande vous indiquera qu'un dossier a été simplement ouvert. Cette commande vous indiquera que Spotlight a été exécuté sur votre clé USB.

Si vous trouvez quelque chose, vous saurez quand votre clé USB a été lue.

Limitation de la garantie

Si notre collègue ou agresseur présumé est assez doué pour lire ceci document et comprendre comment l'utiliser, il pourrait avoir monté votre périphérique USB en lecture seule. périphérique USB en lecture seule. Il l'a donc laissé vierge de toute modification du temps d'accès.

Dans ce cas, j'ai absolument non pour montrer qu'un fichier a été lu sur votre périphérique USB :(.

0 votes

Je m'excuse d'écrire ici, j'ai trouvé que la réponse de @daniel est excellente mais qu'elle ne résoudrait complètement mon problème que si une petite étape supplémentaire était franchie : Je saisis la chaîne /usr/bin/sudo find . -atime -21 -exec ls -dluT {} \ ; mais je ne peux voir que le dernier accès de chaque jour (exemple : 3 mai, 18.30) Comment puis-je également voir sur l'écran tous les accès d'un certain jour (par exemple, si je veux voir si le périphérique a également été monté le 3 mai à 12.00) ? Si cela peut aider (ou si cela peut être pertinent), le contenu du disque dur est une sauvegarde effectuée avec TimeMachine. Je vous remercie d'avance.

0 votes

MacOS X n'enregistre pour chaque fichier qu'une seule heure d'accès : la dernière.

1voto

njboot Points 8005
  • Ouvrez votre Console
  • Sélectionner system.log
  • Tapez la requête suivante dans le volet de recherche (coin supérieur droit) : USBMSC
  • Vous verrez quelque chose comme kernel: USBMSC Identifier (then an alphanumeric string indicating the USB bus address)
  • Les la date et l'heure est également affichée. Cela vous permettra de savoir quand un appareil a été connecté pour la dernière fois à un bus USB particulier.

2 votes

Si j'interprète correctement la question et la réponse, il demande un moyen de savoir quand une un périphérique USB particulier a été branché sur n'importe quel bus USB alors que cette réponse montre comment découvrir quand n'importe quel dispositif USB a été branché sur un bus USB particulier . Je ne crois pas qu'il existe un moyen de savoir ce que veut l'auteur de la demande, malheureusement (en supposant que je lise correctement).

0 votes

Njboot : cette réponse répond autre question de sécurité pertinente : "Comment puis-je savoir si quelqu'un a branché une clé USB suspecte sur un ordinateur ? mon Mac ?".

0voto

Zeke Witthaus Points 11

Ce n'est certainement pas possible pour "n'importe quel dispositif USB", car la norme est destinée à la communication.
Pour les clés USB, vous pouvez essayer de vérifier les dates d'accès des fichiers individuels (n'y comptez pas, ils ne sont souvent pas utilisés et votre propre vérification peut écraser les dates si vous ne faites pas attention), ou la présence de fichiers que vous n'avez pas utilisés. savoir ni vous ni votre ordinateur n'avez pu y mettre (comme thumbs.db ou RECYCLED pour Windows, .DS_Store ou .Trashes pour mac).

Il n'y a guère d'intérêt à ce que cette fonction soit présente dans un produit de consommation courante. Même si elle était stockée dans le micrologiciel de l'appareil, elle dépendrait toujours de l'horloge de l'ordinateur hôte.

0 votes

"dépendant de l'horloge de l'ordinateur hôte", plutôt que de s'appuyer sur des données aussi facilement falsifiables, il peut être doté d'un compteur non réinitialisable qui s'incrémente à chaque fois que l'appareil est alimenté.

0 votes

@andré-daniel Pas utile pour l'objectif de l'OP à moins qu'il n'y ait autre mécanisme (pas nécessairement sur l'appareil) stockant la valeur de comptage à laquelle ils Ce sont eux, et eux seuls, qui y ont accédé en dernier. Seule une horloge en temps réel serait utile, mais elle nécessite une batterie plus grande que l'unité de mémoire. Il serait préférable de programmer un enregistreur/sécurité USB de type "pass-through". Mais toute solution de ce type exige que l'appareil soit spécifiquement préparé à cet effet.

0 votes

Oui, je ne disais pas nécessairement cela pour le PO, je soulignais juste qu'il y avait un moyen de mettre en œuvre un "compteur de sécurité" de sorte qu'un utilisateur puisse savoir si le dispositif a été utilisé sans son consentement.

0voto

daniel Points 5467

Utilisez Belarc Advisor... exécutez-le avec les privilèges d'administrateur... lorsque le rapport est terminé, recherchez USB Storage Use in past 30 Days... là vous pouvez voir le type d'USB et la date de la dernière utilisation...

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

X