En partant de ce grand script offert par Daniel Azuelos
cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;Comment est-il possible de le modifier afin de trouver si une clé USB a été branchée, sur un ordinateur quelconque, à une date donnée ?
Sous Linux, il existe un sous-système USB qui crée des événements de journal système.
Il peut donc vous dire ce qui a été branché sur votre PC. Mais il ne peut généralement pas dire s'il s'agit d'une clé USB ou d'un autre objet connecté à un PC, sauf si certains fichiers ont été modifiés. Bien que les clés USB et les cartes SD soient généralement formatées en VFAT pour des raisons de compatibilité, il n'y a aucune raison pour qu'elles ne puissent pas être formatées avec un système de fichiers plus puissant tel que EXT3 ou NTFS. Dans ce cas, si une clé USB était montée en lecture-écriture et non en "noatime", l'horodatage d'accès au fichier indiquerait si un fichier a été lu, ou si un répertoire a été accédé par un bureau graphique pour créer des icônes de dossier.
Comme cela est intégré à Linux et fait partie de la spécification USB, il doit être possible d'obtenir le même niveau de détail dans d'autres systèmes d'exploitation en utilisant une application appropriée.
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
