Zugriff auf PC feststellbar, auch wenn mit Livecd erfolgt ?

schwedenmann

schwedenmann

Foren Gott
Hallo

Welche Möglichkeiten hat ein user zu kontrollieen, ob auf seinen PC zugegriffen wurde (beim Booten des insatllierten Linux hat ma ja genmug logs (auch wenn man die manipulieren kann, weshalb sie bei den Gerichten nicht als beweis gelten), aber wie sieht es mit einem Zugriff per Livecd aus?


Auf einem Winrechenr gibts afaik nur 2 Möglichkieten
1. timestamps im FS (funktioert aber nicht per ntfs-3g uhd nciht mit jedem win)
2. Auslesen von smart (geht aber auch nur, wenn man die letzten daten vor dem Zugriff geloggt hat

wie siehst bei Linux aus, ähnlich mau ?

mfg
schwedenamnn
 
Ich nehme an, dass es da aehnlich aussieht - wenn man physikalischen Zugriff auf eine Maschine hat, kann man so einiges machen, weswegen wichtige Server ja auch weggeschlossen werden muessen. Soweit ich weiss, verlangen zumindest Versicherungen bei Firmen so etwas.
 
Hallo

Würde smart das Mounten eienr HDD als Booten zählen (die Anzahl der Bootvorgänge werden afaik unter anderem nat. von smart geloggt, bei den reinen Betriebststunden könnte ich mir vorsetllen, das ein Mounten des HDD von 15-20min, gar nicht erfaßt, bzw. keine Änderung der Betriebstundenn Zahl zur Folge hat.

mfg
schwedenmann
 
Smart hat nix mit mounten zu zun. Das Einschalten der Platte wird gezählt, das muss aber nicht zwangsläufig mit dem Einschalten des PCs korrellieren, ich kann mir denken, dass auch das Wiedereinschalten nach dem Energiesparmodus mitgezählt wird. Wenn man nun davon ausgehen kann, dass zwischen dem Shutdown und dem Wiederhochfahren aber soetwas nicht stattfindet, dann wäre das eine recht intelligente Idee, um so etwas zu prüfen. Natürlich kann man diese Aufzeichnung ebenso manipulieren, da muss man aber erst mal drauf kommen. Die meisten Zugriffe werden aber eher keine Spuren hinterlassen. Zumal ein Profi die Platte ohnehin read-only mounten würde, eben damit sich nichts im Dateisystem ändert.
 
Zurück
Oben