Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
tck

pomoc HDD Log

Recommended Posts

Čaute chalani. Chcem sa opýtať či niekto z vás nevie či sa nedá zistiť aktivita HDD. Myslím tým kedy bol zapnutý a hlavne časy. Dík za odpovede. Samozrejme Windows

Sdílet tento příspěvek


Link to post
Share on other sites

Jedna věc je požádat o pomoc a druhá věc je trocha samostudia.

I když zadáš do googlu nejkrkolomnější anglickou frázi, tak se hned dá zjistit pár zajímavých informací do 5 minut. Ale to už je každého věc.

Co například používám já https://crystalmark.info/en/download/

Sdílet tento příspěvek


Link to post
Share on other sites
Author of the topic Odesláno před
před 5 minutami, mxco said:

Jedna věc je požádat o pomoc a druhá věc je trocha samostudia.

I když zadáš do googlu nejkrkolomnější anglickou frázi, tak se hned dá zjistit pár zajímavých informací do 5 minut. Ale to už je každého věc.

Co například používám já https://crystalmark.info/en/download/

Asi si ma zle pochopil. Potrebujem zistiť časovú aktivitu HDD.... (kedy sa HDD zapne kedy vypne) a či echistuje na to niejaký CMD príkaz alebo log presne tak ako to máš v logu prečo sa vypol pc to zistiť vieš

Sdílet tento příspěvek


Link to post
Share on other sites

Dobře, má chyba, slovo "časy" je matoucí a má v konxtextu více významů. Tím pádem mám pocit z toho co znám, že tuhle informaci self-monitoring technologie u disků nezanechává. A nic jiného jsem se nedočetl. Leda by šel vytvořit script/task, který by při startu a vypínání info zapsal a skládal takhle log. A nebo by třeba mohl windows zanechávat nějaké bootovací soubory při vypínaní nebo tak podobně. Takhle podrobně jsem to nikdy nezkoumal a neznám.

Kdyby někdo věděl tak se rád přiučím.

Sdílet tento příspěvek


Link to post
Share on other sites
Author of the topic Odesláno před
před 11 minutami, mxco said:

Dobře, má chyba, slovo "časy" je matoucí a má v konxtextu více významů. Tím pádem mám pocit z toho co znám, že tuhle informaci self-monitoring technologie u disků nezanechává. A nic jiného jsem se nedočetl. Leda by šel vytvořit script/task, který by při startu a vypínání info zapsal a skládal takhle log. A nebo by třeba mohl windows zanechávat nějaké bootovací soubory při vypínaní nebo tak podobně. Takhle podrobně jsem to nikdy nezkoumal a neznám.

Kdyby někdo věděl tak se rád přiučím.

áno aj ja mam také info. ale skúsil som. riešim takú chúlostivú záležitosť v práci.

Sdílet tento příspěvek


Link to post
Share on other sites
Author of the topic Odesláno před
před 40 minutami, Om3n said:

Nestačil by k tomu co potřebuješ BIOS log?

Nie jedna sa o to ze šef ma podozrenie ze mu vybrali HDD s NTB a skopírovali data... btw ja nepoznam nič aby som získal log z daného hdd jedine zašifrovať bitlockerom

Sdílet tento příspěvek


Link to post
Share on other sites
před 10 minutami, tck said:

Nie jedna sa o to ze šef ma podozrenie ze mu vybrali HDD s NTB a skopírovali data... btw ja nepoznam nič aby som získal log z daného hdd jedine zašifrovať bitlockerom

Jaj, tak to ne no. Čekal jsem spíš problém typu "pracoval vůbec tento zaměstnanec, když měl homeoffice?". Držím palce. To je celkem průser, když se něco takového stane.

Sdílet tento příspěvek


Link to post
Share on other sites
Admin
před 5 hodinami, tck said:

Nie jedna sa o to ze šef ma podozrenie ze mu vybrali HDD s NTB a skopírovali data... btw ja nepoznam nič aby som získal log z daného hdd jedine zašifrovať bitlockerom

https://pawno.cz/index.php?/problém-xy/

Co se týče jakékoliv informace na HDD úrovni, podle které by se dalo zjistit cokoliv o tom po čem jdeš ty, to umí jen HDD pro servery s technologiemi navíc, které jsou pro logging určeny.. Sám mám trochu pochybnosti že ani z HDD-level logů nezjistis nic podstatného. Spíš bych pátral po stopách jiného HW v notasu, např jiný HDD - vždy je šance že to dotyčný mohl klonovat na stejném HW

Sdílet tento příspěvek


Link to post
Share on other sites
Author of the topic Odesláno před
před 10 hodinami, ffredyk said:

https://pawno.cz/index.php?/problém-xy/

Co se týče jakékoliv informace na HDD úrovni, podle které by se dalo zjistit cokoliv o tom po čem jdeš ty, to umí jen HDD pro servery s technologiemi navíc, které jsou pro logging určeny.. Sám mám trochu pochybnosti že ani z HDD-level logů nezjistis nic podstatného. Spíš bych pátral po stopách jiného HW v notasu, např jiný HDD - vždy je šance že to dotyčný mohl klonovat na stejném HW

NTB v tom čase zapnutý nebol to už som skontroloval vo win logu. no uvidíme viac asi neporadím 😄 tak či onak šéf bude dávať trestné oznámenie lebo bola u neho v kancli osoba počas dovolenky ktorá tam nemala čo robiť....

Sdílet tento příspěvek


Link to post
Share on other sites
Admin

Pokiaľ by bol PC zapnutý a kopírovalo by sa pomocou windowsu, možno by si vedel nájsť nejaké stopy v cache logu, keďže Windows využíva pri kopírovaní cache, aby sa to mierne zrýchlilo (táto funkcia je od nejakej (nie som si istý ktorej) verzie Windows 10 už defaultne vypnutá pri kopírovaní na externé úložisko (EHDD) takže tiež pravdepodobne false alarm), no pokiaľ ten disk vybral a externe to skopíroval, tak len veľmi zaťažko, povedal by som že je to takmer nemožné zistiť, či bolo niečo skopírované, ak by to bol serverový disk, možno by si vedel vytiahnúť nejaké HDD logy a pozrieť si kedy bol zapnutý a čo bolo čítané, ale ak to nie je nejaký takýto drahší HDD tak len zaťažko. 

Odporúčam šéfovi si zašifrovať údaje na disku, v tom prípade ak bude PC vypnutý tak sa k údajom bez dešifrovacieho kľúča (hesla) nikto nedostane.

EDIT:// Teoreticky ešte pomocou Journal logu, ktorý zapisuje ktorý súbory boli pridané, zmenené alebo odstránené a robí ho file system by si možno vedel zistiť, ale pokiaľ boli len kopírované, tak sa to za zmenu nepovažuje a neni to zapísané do logu (samozrejme pokiaľ sa nekopíruje na ten istý disk) ale za pozretie to stojí.

Sdílet tento příspěvek


Link to post
Share on other sites
Author of the topic Odesláno před
před 22 hodinami, Lucifer Morningstar said:

Pokiaľ by bol PC zapnutý a kopírovalo by sa pomocou windowsu, možno by si vedel nájsť nejaké stopy v cache logu, keďže Windows využíva pri kopírovaní cache, aby sa to mierne zrýchlilo (táto funkcia je od nejakej (nie som si istý ktorej) verzie Windows 10 už defaultne vypnutá pri kopírovaní na externé úložisko (EHDD) takže tiež pravdepodobne false alarm), no pokiaľ ten disk vybral a externe to skopíroval, tak len veľmi zaťažko, povedal by som že je to takmer nemožné zistiť, či bolo niečo skopírované, ak by to bol serverový disk, možno by si vedel vytiahnúť nejaké HDD logy a pozrieť si kedy bol zapnutý a čo bolo čítané, ale ak to nie je nejaký takýto drahší HDD tak len zaťažko. 

Odporúčam šéfovi si zašifrovať údaje na disku, v tom prípade ak bude PC vypnutý tak sa k údajom bez dešifrovacieho kľúča (hesla) nikto nedostane.

EDIT:// Teoreticky ešte pomocou Journal logu, ktorý zapisuje ktorý súbory boli pridané, zmenené alebo odstránené a robí ho file system by si možno vedel zistiť, ale pokiaľ boli len kopírované, tak sa to za zmenu nepovažuje a neni to zapísané do logu (samozrejme pokiaľ sa nekopíruje na ten istý disk) ale za pozretie to stojí.

Veľmi dobrá odpoveď no nič nové si mi nepovedal. Len som skúsil sa vás opýtať. Nikto nečakal ze mu pôjdu do kanclu a začnú tam niečo "snoriť" počas jeho dovolenky. A zase Coperfield nie som 😄 Ale dík za čas a odpoveď.

Sdílet tento příspěvek


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Zde můžete odpovědět na toto téma...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Obnovili jsme váš původní obsah (obsah napsaný před zavřením).   Smazat obnovený obsah

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...