Comment savoir ce qui a été accédé sur mon ordinateur lors de la confiscation?

Comment puis-je savoir ce qu'ils ont trouvé ou vu?

windows-7

— Sam Smith
source

Confisqué par qui? Cela fait une grande différence.

— Moab

+1, Surpris, personne n’a voté pour le moment, c’est une excellente question.

— Moab

Réponses:

S'ils l'ont fait de la manière médico-légale correcte, il n'y a AUCUN MOYEN de déterminer ce qui a été examiné. La technique appropriée aurait consisté pour le technicien légiste à extraire le disque dur, à le cloner, à ramener votre disque dur sur la machine, puis à examiner l’image de clonage. Il n'y aura aucune trace sur votre disque puisqu'il n'a jamais été démarré. Ils fonctionneront strictement à partir de l'image du clone. Vous devez considérer que tout ce qui se trouve sur le disque dur a été compromis et vous devez également savoir qu'ils peuvent avoir conservé l'image ou des parties de l'image. J'espère que vous ne regretterez rien.

— Blackbeagle
source

En effet, vous devez supposer qu'ils ont tout vu. (Peut-être y compris les fichiers que vous avez supprimés.) Considérez-vous comme chanceux d'avoir restitué le système ...

— SamB

Une autre raison du chiffrement intégral du disque à l'aide de Trucrypt.

— Moab

Quant à TrueCrypt, oui, cela devrait aider. Mais si l'attaquant est dédié, il peut également installer un chargeur de démarrage TrueCrypt modifié qui enregistre le mot de passe saisi, puis l'envoyer à son serveur. S'ils ont le temps de démonter votre ordinateur portable, ils peuvent même installer un enregistreur de frappe matériel. Soyez paranoïaques, soyez très paranoïaques

— Martheen Cahya Paulo

@typoknig: Une bruteforce pure sur un chiffrement fort bien implémenté prendrait des années. Cependant, si une faiblesse est découverte plus tard, l'attaque peut être faite dans un délai plus court. Pour l'instant, je crois que la

— saisie au clavier

@ Martheen Cahya Paulo Je conviens que cela pourrait prendre des années, mais cela dépend vraiment du niveau de cryptage. TrueCrypt autorise le cryptage jusqu’à 256 bits, ce qui prendrait très longtemps (ans) à déchiffrer, mais le cryptage <128 bits ne prendrait que quelques semaines à plusieurs mois (basé sur mon expérience du cryptage AES utilisé dans les réseaux WiFi ).

— ubiquibacon

Vous pouvez utiliser un script pour trier récursivement les fichiers sur le système en fonction du dernier accès. Cependant, avec toutes les activités en cours dans le système de fichiers telles que l'indexation, il est presque impossible de déterminer exactement ce qu'ils ont examiné.

— John T
source

Est-ce ou n'est pas presque impossible?

— Wuffers

Est presque impossible. Mes doubles négatifs me donnent parfois le meilleur de moi :)

— John T

Le moyen le plus rapide de voir l'heure à laquelle vos fichiers ont été consultés, pour autant que je sache:

Téléchargez l'outil de recherche Tout: http://www.voidtools.com/
Installez-le, lancez le programme et attendez qu'il indexe votre disque (cela devrait prendre moins d'une minute)
Cliquez en haut sur les en-têtes de colonne ("Date de modification"), puis activez "Dernier accès".
Maintenant, cherchez quelque chose au hasard, comme windows
Cliquez sur le nouvel en-tête de colonne "Dernier accès" pour trier les résultats de la recherche, afin que les derniers soient au premier plan.
Supprimez votre ancienne recherche et recherchez *.*. Cela prendra beaucoup de temps, surtout si c'est la première fois que vous utilisez Everything; cela peut prendre jusqu'à 10 minutes, je ne sais pas combien de temps: cela dépend de votre PC; continuez à attendre, il m'a fallu 3 minutes sur ce vieux PC
Vous avez maintenant une liste de tous les fichiers sur votre PC, classés par le dernier accès, avec les dates et les heures.

Notez que Windows accède également à certains fichiers lorsque le PC est allumé sans sortie externe. Vous ne pouvez donc pas être sûr que ce sont eux qui ont accédé à un fichier.

— Cerbère
source