Как узнать что делали с компьютером в мое отсутствие: когда включали, выключали, что запускали, копировали с него и т.д. Есть три варианта. 1. Если загружались с моего HDD. 2. Загружали комп со своей системы (CD, флешка, USB HDD). 3. Вынули HDD (подсоединились к нему) и работали с ним на другом компе. Первый вариант мне ясен - посмотреть в журналах: "Приложение", "Система" в "Управление компьютером", а также по измененным датам открытия, изменения и создания файлов. Возможно есть что-то еще... Интересуют варианты 2 и 3. Есть ли в BIOS (или другом месте) логгирование/история включения/выключения компа. Есть ли в HDD (или другом месте) логгирование/история включения/выключения HDD и выполнения на нем различны операций. Самое важное - если есть как программно получить доступ к этим логам.
2, 3: Если никаких файлов не изменялось, то никак. Некоторые БИОСы ведут логи, например на серверах есть такая возможность. Это поможет тебе в варианте (2) узнать, что кто-то включал машину, но не более того. Вариант (3) при условии только чтения не отслеживается точно. С диска можно прочитать SMART-параметры, но не поможет ничуть. Снять отпечатки пальцев с харда, клавиатуры, мышки, и крышки системного блока? ))
researcher Включить в BIOS пароли на диск - тогда можешь точно быть уверенным что никто ничего не копировал http://forum.ixbt.com/topic.cgi?id=11:11926
researcher SMART однозначно. Аттрибуты: 1. Start/Stop Count (Счетчик Запусков/Остановок) - полное число запусков/остановов шпинделя. 2. Drive Power Cycle Count (Счетчик Включений Накопителя) - количество полных циклов включения-выключения диска. Смотреть RAW значение соответствующего аттрибута.
Если уже произошло то практически никак. Для всех описанных выше методов (SMART и т.д.) надо знать состояние на момент выключения, и при включении проверять не было ли за этот период других включений. А так вариантов никаких нет. А вообще Y_Mur правильную идею говорит. Только пароль на HDD лучше не в BIOS ставить (его сбросить можно), а криптовать разделы диска - тот же TrueCrypt к примеру. Или если файлов важных не много - паковать в RAR с паролем 8 символов и выше. Ломать будут до посинения.
Да, SMART это вариант для мониторинга, а не действий постфактум. Если файлы были скопированы "обычным" способом с оригинального диска, то можно смотреть по файловому атрибуту "Время доступа". Если же жесткий диск был скопирован посекторно (например командой dd), то концов нет. Так, кстати, серьезные дяди и работают: подключают диск через блокиратор записи к стендовому компьютеру и сливают содержимое последнего от первого до последнего сектора. Потом с копией можно работать как угодно: загрузиться с нее с помощью VMWare, подключить отдельные разделы к реальной ОС и т.д.
Sun Fire X4100/X4100 M2 и X4200/X4200 M2серверы интеловские серверы(почти все брендовые платформы Intel) Поиск в помощь - BIOS Event Log, SEL in Bios, еще запросы можно придумать
cppasm Я же привёл ссылку - сбросить можно либо с форматированием диска (тогда ничего не скопируешь), либо методом подмены контроллера (электронной схемы установленной на самом НД) без выключения питания, для чего нужно иметь этот самый "специальный" контроллер, подходящий к модели диска и соответсвующую квалификацию в электронике, т.е. в бытовых условиях вообще нереально, а в спец-фирму, нужно везти диск, платить и там возиться с подводными камнями этой методики .
а в чем сложность? ты не можешь побегать по менюшкам и почитать, что там написано? там не так уж и много между прочим
