(no subject)
Nov. 8th, 2011 10:38 pm![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
stylemusic.livejournal.com posting in ![[community profile]](https://www.dreamwidth.org/img/silk/identity/community.png){kind=small}
useful_faqЕсли подключить флешку или винт по usb к winxp и скопировать файл. То где и какая информация сохраняется в системе о данных действиях?
stylemusic.livejournal.com posting in useful_faq
no subject
Date: 2011-11-08 07:37 pm (UTC)no subject
Date: 2011-11-08 07:52 pm (UTC)Что значит выражение портировать реестр?
no subject
Date: 2011-11-08 08:02 pm (UTC)если следы того, что уже вставлялись, тоже не нужны, то надо тестить на тех, что вставлялись.
если пофиг, то 99% что неопределимо (разве что по наличию самого файла/уменьшению места на диске)
> Что значит выражение портировать реестр?
пуск->выполнить
вводим regedit
жмем энтэр
дальше файл->экспорт
вводим имя, выбираем куда и жмем сохранить.
удивило, что на фоне этого вопроса, вас совершенно не привел в замешательство совет "сравнить дампы тортузой"
no subject
Date: 2011-11-08 08:17 pm (UTC)Или я тогда не понял смысл первых двух фраз.
Задача: понять какие данные записываются и где.
Если было бы слово экспортировать, то я бы понял.
Не знаю что такое тортуза. Видимо программа. В любом случае принцип я понял.
no subject
Date: 2011-11-08 08:20 pm (UTC)no subject
Date: 2011-11-08 09:29 pm (UTC)да
>Не знаю что такое тортуза.
TortoiseSVN
тулза, имеющая функцию diff, попросту говоря, которая (помимо всего) умеет сравнивать построчно файлы и наглядно показывать их различие
естьп омему еще airixes merger или как-то так называется.
> какие данные записываются и где если вставить устройство в компьютер, которое туда ни разу не вставлялось.
реестр. Если куда-то и записывается, то туда. экспортируйте его в файл до и после, и сравните.
no subject
Date: 2011-11-09 12:55 pm (UTC)А ставить чирипашку для такого...Няяяя %)
no subject
Date: 2011-11-09 05:19 pm (UTC)no subject
Date: 2011-11-09 12:51 pm (UTC)no subject
Date: 2011-11-09 05:06 pm (UTC)винда обычно в реестре все хранит.
no subject
Date: 2011-11-08 08:26 pm (UTC)Можно воткнуть флешку известного производителя типа Kingston или Transcend, вытащить, и поискать в regedit её название…
Дату тоже можно узнать посмотрев когда соответствующий подраздел реестра был создан.
А если надо обнаруживать надёжно и именно факты копирования - надо задействовать службу аудита файлов… Все обращения к файлам будут записываться…
no subject
Date: 2011-11-08 08:44 pm (UTC)А как узнать дату создания подраздела в реестре?
И если дата сохраняется, то какого подключения? Первого, последнего?
Меняется ли что-то в плане аудита если файлы копировались по сети?
Где именно посмотреть включение/отключение этих служб?
Что понимается под обращением? Скажем открыть картинку и скопировать картинку - одно и тоже?
Сорри что так много вопросов, но иначе не разобраться )
no subject
Date: 2011-11-08 09:30 pm (UTC)Ну а если как программист - то API-функция RegEnumKeyEx выдаёт lpftLastWriteTime, где указано время последнего изменения этого ключа реестра. Думаю что там получается дата/время последнего события на устройстке - либо последнего подключения либо последнего отключения.
Про аудит…
штатными средствами - посмотреть картинку или скопировать - одинаково - факт чтения файла.
запись на флешку штатно у winxp не отслеживается аудитом, отслеживаются только все чтения и записи на своих NTFS-дисках
нештатно - запросто - например есть программа devicelock.com/ru/ которой можно тщательно следить за действиями на флешках.
no subject
Date: 2011-11-08 09:31 pm (UTC)если там даты нет, то 99% что больше нигде нету
ну разве что в файловой системе дата модификации файла, но чем выловить ее изменение - яне знаю.