Daniel Azuelos의 훌륭한 스크립트로 시작해 보세요.
cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;
특정 날짜에 USB 플래시 드라이브가 컴퓨터에 삽입되었는지 확인하려면 어떻게 수정해야 합니까? 예를 들어, 5월 3일요? 파일이 열렸거나 복사되었는지 감지할 수 있는 방법이 있습니까?
Linux 및 Mac 터미널 스크립트를 사용해 주시면 매우 감사하겠습니다!
답변1
"USB 플래시 드라이브가 연결되어 있는지 확인"하는 첫 번째 질문과 관련하여 커널은 USB 저장 장치가 연결되어 있다고 보고합니다.
아래 예에서는 Linux 배포판이 사용 중이라고 가정합니다 systemd
(다른 배포판에서는 /var/log/messages
유사한 파일을 작성할 수 있음).
# journalctl --since '2018-05-19' --until '2018-05-20' | grep 'kernel: usb'
May 19 12:22:15 localhost.localdomain kernel: usb 1-1.1.1: USB disconnect, device number 7
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: new high-speed USB device number 8 using ehci-pci
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: New USB device found, idVendor=13fe, idProduct=1f00
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: Product: Patriot Memory
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: Manufacturer:
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: SerialNumber: 07870CA23F48
May 19 12:22:19 localhost.localdomain kernel: usb-storage 1-1.1.1:1.0: USB Mass Storage device detected
#
답변2
예, 일부 지표가 있을 수 있습니다.
아니요, 능숙한 사용자가 탐지를 회피하는 것을 방지할 수 있는 방법은 없습니다.
가게
- 가장 낙관적인 옵션은
find . | xargs stat | grep 2018-05-03
또는 시간 및 파일 목록 입니다.find . | xargs stat -c "%x %n" | sort -r | head
- USB 플래시 또는 SD 카드는 호환성을 위해 fat32를 사용할 수 있습니다. 이는 제가 아는 한(그러나 확인하기 쉽습니다
md5sum *.img
) 블록 수준에서 데이터를 복사하는 고급 파일 시스템에서도 마운트 횟수나 파일 액세스 시간을 기록하지 않습니다(cat /dev/sdb > backup_$(date --iso-8601).img
). - USB 플래시 드라이브 또는 SD 카드에는 일반적으로 사용량을 기록하는(시각적으로) HDD/SSD/EMMC/NVMe의 하드웨어 관리 기능이 없으며
smartctl -a /dev/sdb
일시적으로 제어 보드를 교체하여 우회할 수도 있습니다. - 로깅, 암호화 및 TPM이 올바르게 구현된 휴대용 저장 장치를 얻으려면 칩을 분해해야 하며 감지 없이 읽을 수 있도록 $60,000의 전자 현미경이 필요합니다(새 칩으로 칩 교체).
컴퓨터
- 가장 낙관적인 선택은 기다리면 이 문제가 해결될 수 있다는 것
dmesg -T | grep "New USB device found" | grep "May 03"
입니다 .dmesg -c
- 루트가 있고 루트가 없는 경우 로그 전달을 사용하여 추적할 수 있지만 USB 라이브 배포에서 부팅하면 이를 방지할 수 있습니다.
샘플 출력;
2018-05-19 04:57:13.723849533 -0400 ./yum.sh
2018-05-18 17:00:01.271971441 -0400 ./food.sh
.
[Mon May 14 19:44:19 2018] usb usb2: New USB device found, idVendor=1d6b, idProduct=0002
[Mon May 14 19:44:19 2018] usb usb3: New USB device found, idVendor=1d6b, idProduct=0001