Fragen bezüglich meiner Festplatte

[Fili]

Guten Abend an alle!!

Ich bin ganu neu hier im Forum. Ich hoffe, dass das der richtige Beriech ist! Ich habe nicht soviel Ahnung und deswegen habe ich auc heine Farge. Und zwar ich wohne in einer WG, also mit mehreren Personen. Bei meinem Laptop habe ich ein Problem gehabt, weshalb ich die Festplatte ausgebaut habe.

Dann habe ich einen Anruf bekommen, ich musste schnell zu einem Kommilitonen gehen (Problem mit dem Motor am Auto). Ich habe meine Festplatte unbeaufsichtigt in meinem nicht abgeschlossenen Raum liegen lassen - leider.

Nun zu meiner Frage:

Also ich weiß, dass ein Mitbewohner recht viel Ahnung hat. Er ist mir nicht so sympathsich, deswegen mache ich auch selber, wenn es geht oder frage andere Leute. Nun habe ich den Verdacht, dass er meine Festplatte bei sich an den PC angeschlossen hat (so einen Adapter habe ich komischer Weise auf seinem Schreibtisch durch die offene Türe liegen sehen), da die Festplatte anderst lag, als ich sie abgelegt hatte, das weiß ich sicher.

Ich habe nicht besonders viele Bilder auf meinem Laptop, aber es kann nicht sein, dass man so etwas macht. Nun würde mich interessieren:

- Kann ich feststellen, oob er sich Bilder angeschaut hat bzw. welche?
- Kann man auch sehen, ob er etwas gelöscht hat? also wird das registriert?

Sorry, wenn es ne doffe Frage ist, aber mich würde es echt interessieren.

Bitte gebt mal ne Rückmeldung. Danke.

Edit: Ich weiß, dass er Windows 7 Ultimate x64 nutzt.

 

[gelöschter Benutzer]

Je nachdem welches Dateisystem benutzt ist, kann man bei einer Einbindung die Zugriffszeiten auslesen. Das ist aber recht komplex, weil du ein komplettes Image der Platte machen und dann mit dem Image forensische Untersuchungen anstellen musst. Die Tatsache, dass du fragst, zeigt wohl, dass das zu komplex für dich ist.

Trotzdem ne kurze Anleitung: Image mit dd, dann ro-mount, dann mit find und atime die atime auslesen und den Output in eine Datei loggen, die man dann mit grep/awk nach dem entsprechenden Zeitraum durchsuchen kann.

You do not have permission to view link please Anmelden or Registrieren

Einfacher wird sein, seinen PC zu durchsuchen. Das ist allerdings illegal.

 

[Fili]

Danke schon mal! Ja, also er hat Windows, ich denke, dann wird es NTFS sein - wenn wir davon asugehen, dass es NTFS ist?

Und o.k., was kann man dann aber genau alles sehen, wenn man ein Image erstellen würde? Auch, welche Datei ier geöffnet hat? Oder nur, dass er ebent gemountet also angeschlossen hat?

Edit: Aber es gibt ein Problem. Zugegriffen werden kann ja auch vom Virenscanner., oder? Bzw. wenn er sagt er hätte nur was hin- und herkopiert wie bei einer Datensicherung, dann wird ja auch zugegriffen. Klar, ich habe ihn nicht gebeten, das zu tun, aber er könnte das behaupoten.

UND er könnte ja auch sagen, dass jemand anderst oder osgar ich das gewesen sei mit dem zugriff über nen Adapter, es steht ja nirgendwo der Name seines PCs.

Der Link geht nicht leider.

Edit: also beim Kopieren der Datei wird der Zeitstempel au neu gesetzt, wie ich gelesen habe. Dann kann er ja vieles behaupten. Sieht ja scheiße aus.

 

[alter_Bekannter]

Nachweisen kannst du nichts davon, also hör mit dem Blödsinn auf, du machst dich nur Wahnsinnig und störst damit ungemein den zukünftigen Frieden.

Vergiss nicht das jemand dem man sowas zu recht unterstellen würde diese Spuren locker wieder verwischen könnte.

 

[Fili]

Hallo un dnake! Wie meinst du das jetzt, dass man nichts nachweisen kann?? hörte sich erst anderster an von deinem Vorredner. Aber er kann ja da alles behaupten, was ich schon befürchte, oder?

Ja, wie kann er sie verwischen? Er hat ja keine HDD mehr. BITTE um Rückmeldung.

 

[alter_Bekannter]

Nein, das was phre4k sagt stimmt schon, nur ist das halt alles wie schon erwähnt keine Magie, wenn Windows den letzten Zugriff protokollieren kann warum sollte andere Software den nicht ändern können?

Worauf ich hinaus will, ist das deine Paranoia einfach nur destruktiv ist in diesem Fall.

 

[cokeZ]

Die Studenten von heute...*rolleyes*

Wenn er Fachwissen hat, kann er die Spuren verwischen die evtl hinterlassen werde, dass meint alter_bekannter.

Mach dich einfach nicht verrueckt...

 

[Fili]

Ja, dass es keine Magie ist, ist mir klar. Nur unter Winmdwos klappt das ja unter NTFS geraed nicht immer.

You do not have permission to view link please Anmelden or Registrieren

Wie will er die Spuren verwischen?? Er hat doch die Platte net mehr? Oder meint ihr, als er sie hatte? wie geht das denn? also das würde mich intreressierne. Wie kan nso etwas möglich sein??? Hallo??

Aber es stimmt doch, dass auch ein Kopie der Datei den Zeitstempel ändetr, wie ich gelesen habe - ost das korrekt?

 

[m6ld8ywqya]

Seit Vista wird der letzte Zugriff nicht aktualisiert und steht somit auf dem gleichen Zeitpunkt wie zuletzt geändert.

 

[Toxxic]

Hi Fili/Ralf/Timo! Schön, dass du wieder zu uns gefunden hast

Wusste dein Mitbewohner wo du bist und wie lange du ungefähr weg bist? Wenn nicht, halte ich deine Vermutung für unbegründet.

 

[The_Emperor]

Festplatte per USB an einen anderen Rechner anstecken -> 1:1 Backup der Festplatte erstellen -> Festplatte zurücklegen -> Spuren: 0

Verschlüssel dein System sonst kann jeder mit einem Minimum an Fachwissen an deine Daten.

 

[TBow]

Verschlüssel dein System sonst kann jeder mit einem Minimum an Fachwissen an deine Daten.

Genau so ist es. Verschlüsselung ist die beste Beruhigungspille.
Bei Debian, Ubuntu usw ist die Verschlüsselungsoption schon bei der Installation mit an Bord.

Wusste dein Mitbewohner wo du bist und wie lange du ungefähr weg bist? Wenn nicht, halte ich deine Vermutung für unbegründet.

Eine Platte auszuspionieren und sensible Daten zu kopieren dauert nicht lange. An den Adapter hängen, mounten und gleich mal alle jpgs, docs usw rüberkopieren, wenn dann noch Zeit bleibt wird die Platte eben noch genauer untersucht. Der Angreifer braucht zB nur den Eingang des Hauses im Blick zu behalten, und hätte genug Zeit sie unentdeckt zurück zu legen. Nimmt der soeben Zurückgekehrte die Platte nicht sofort in die Hand, dann fühlt er nicht mal die Restwärme. Vorausgesetzt, der Angreifer hält sie bis zur letzten Sekunde gemountet.

Kann aber natürlich auch sein, dass sein Mitbewohner am Zimmer vorbei geht, einen Blick riskiert, die Platte sieht und sie kurz in Augenschein nimmt, "Ey, was für mikrige, abgeranzte Laptopplatte" sagt und sie dann hinlegt. Fili kommt zurück, sieht das sie "falsch" liegt und ist nun verunsichert.

 

[gelöschter Benutzer]

Festplatte per USB an einen anderen Rechner anstecken -> 1:1 Backup der Festplatte erstellen -> Festplatte zurücklegen -> Spuren: 0

Verschlüssel dein System sonst kann jeder mit einem Minimum an Fachwissen an deine Daten.

Das mit der Verschlüsselung hatte ich vergessen.

@Fili: welches Betriebssystem hast du denn? Wenn du Win 7 Professional hast, gibt es Bitlocker. Ansonsten würde ich ernsthaft schauen, ob ich nicht ein verschlüsseltes LUKS / LVM mit Linux nutzen würde, wenn die "Umgebung" so hochbrisant ist. Dir scheint ja was an den Daten zu liegen.

Machst du Backups? Wenn nicht, fang damit an. Diese solltest du auch verschlüsseln.

 

[Toxxic]

Damit man in ein fremdes Zimmer geht, da eine Platte nimmt und diese auswertet muss man schon ziemlich abgebrüht sein. Wenn man schon so weit geht, ist auch eine verschlossene Tür keine große Hürde.

Wie man im Startpost von Salva80 nachlesen kann, spielen hier extrem (fast schon unglaublich) viele Zufälle zusammen. Dadurch konnte sich der Mitbewohner in keinster Weise auf das Auslesen der Platte vorbereiten.
Im Startpost von Corrado steht auch, dass sein Mitbewohner Win7 64 nutzt. Welcher (überdurchschnittliche) Windows-User hat schon Linux am Start und weiß auswendig wie er die Platte (ohne Spuren zu hinterlassen) auslesen kann?

@Timo - poste doch einfach mal, wie groß deine Festplatte ist, wie viel Speicherplatz belegt ist, wie viel Speicherplatz mit P0rnobildern belegt ist und wie groß das Zeitfenster war. Ich denke so kann man eher einschätzen ob da etwas passiert ist.

- Kann man auch sehen, ob er etwas gelöscht hat? also wird das registriert?

Warum sollte dein Mitbewohner etwas löschen?

 

[The_Emperor]

Warum sollte man Linux benötigen um eine Festplatte mit Windowsinstallation ohne Spuren zu hinterlassen kopieren zu können?

 

[gelöschter Benutzer]

Warum sollte man Linux benötigen um eine Festplatte mit Windowsinstallation ohne Spuren zu hinterlassen kopieren zu können?

Kann man bei Windows im Nur-Lesen-Modus mounten? Ernsthafte Frage, ich weiß es nämlich nicht.

 

[1Bratwurstbitte]

Jetzt nachweisen ist schwierig...
Es hätte sich eher angeboten eine Falle zu stellen...
Manche Festplatten unterstützen gewisse SMART-Parameter,
anhand derer du erkennen kannst, wie viele Schaltzyklen die Platte schon mitgemacht hat ( AN AUS ), oder wie viele Arbeitsstunden etc...

Theoretisch, wenn es so ein "Experte" ist, der ein gecracktes Windows Ultimate nutzt, wirst du sicherlich auf seinem Rechner im Windows Statusbericht fündig ...
Der hat nie im Leben die Protokolle abgeschaltet... Da wird dann irgendwo ein Eintrag zu finden sein, dass deine Platte mit Seriennummer / Kennung XYZ am System angesteckt war ( sogar mit sekundengenauer Zeit und Datum ).

Aber um das mal vorweg zu nehmen, das würde einen anderen "Halbexperten" erfordern und würde die Luft in der WG ziemlich verpesten .

 

[Toxxic]

Windows legt sehr gerne und relativ zuverlässig Systemdateien bzw. Ordner an. Sicher kann man das auch unter Windows umgehen, allerdings ist dafür auch eine gewisse Vorbereitung nötig. Die Spuren nachträglich zu verwischen ist bei einem unbekannten Zeitfenster sicherlich keine Option.

So lange sich der TS nicht wieder meldet und weitere Details liefert ( oder mit einem neuen Account die selbe Frage stellt), kann man nur raten wie, warum und ob überhaupt ein Angriff stattgefunden hat.