Как узнать копировали ли файл с моего компьютера на флешку
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
1. В Recent вы этих файлов не увидите.
эти логи отключены по дефолту.
ну можно пробежаться по атрибуту ласт ассессед в фс, но там будет куча мусора.
А журнал не ведется разве на эту тему?
то о чем вы спрашиваете на уровне системы может логироваться через аудит (который необходимо настраивать). Но анализ логов задача трудоемкая + логи можно почистить имея права. Для этого существуют DLP системы которые стоят отдельных денег и могут гарантировать результат, в том числе и блокировку и мониторинг.
Если вы подозреваете утечку информации, то практика показывает что самый пессимистичный вариант является реалистичным.
The opinion expressed by me is not an official position of Microsoft
Как посмотреть историю USB подключений к стационарному компьютеру/ноутбуку?
Как определить, что у компьютера есть еще и «другая жизнь», о которой владелец не знает?
Любое устройство, подключаемое к системе – оставляет свои следы в реестре и лог файлах.
Существует несколько способов определить — какие USB-Flash-накопители подключались к устройству:
1) С использованием специальных программ
Если нужно знать, что именно копировалось с/на компьютер – используем этот способ. При условии соблюдения политик безопасности и с помощью специального софта можно не только отследить, что в компьютер вставлялся USB flash диск, но и логгировать имена файлов, которые копировались с/на диск, и содержимое этих копируемых файлов.
С помощью специальных программ можно проконтролировать доступ не только к USB flash-дискам, но и ко всему спектру съемных устройств, принтеров и сканеров.
Специализированного софта по данной теме можно перечислить много, например – SecureWave Sanctuary Device Control / Lumension Device Control, DeviceLock, GFi EndPointSecurity, InfoWatch Device Monitor и т.п. Выбор конкретного софта зависит от конкретных условий применения.
2) Ручной – самостоятельно просматриваем реестр
Все данные о подключениях USB хранятся в реестре в этих ветках:
В первой (USBSTOR) отображаются устройства-носители (как правило флеш-накопители), во- второй (USB) – телефоны, камеры, мышки и т.д.
Рис.1 – Редактор реестра. Информация о флеш-накопителях
Для того, чтобы узнать дату и время подключения можно экспортировав нужный раздел в файл с расширением txt.
Рис.2 – Редактор реестра. Экспорт USBTOR
Рис.3 – Редактор реестра. Результат экспорта
Так же можно экспортировать раздел USBSTOR в файл с расширением txt.
Рис.4 – Редактор реестра. Экспорт USB
Затем запускаем поиск устройств MTP (латинскими).
Рис.5 – Редактор реестра. Экспорт USB
Находим дату и время подключения мобильного телефона (в данном примере) к USB компьютера. Так же по поиску устройств MTP могут находиться фотоаппараты и планшеты.
Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительную истории о флешках, разбросанных по парковкам. Это был обычный эксперимент, проведенный в студенческом кампусе Университета штата Иллинойс, с несколькими сотнями утерянных флешек, на которых был записан безобидный скрипт, сообщающий о подключении USB-накопителя к компьютеру. Итог – 45% утерянных флешек были подключены в течении 10 часов после начала эксперимента.
Еще одно событие, произошедшее в прошлом году. В изолированную сеть атомной электростанции попало вредоносное ПО. Причина – сотрудник, для решения задач предприятия, использовал USB со скачанным для семейного просмотра фильмом.
Помните, что даже личные накопители сотрудников (флешки, карты памяти) способны нанести компании урон не меньший, чем внешняя атака.
Как узнать, что копировалось на флешку или другой носитель?
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Как узнать, что в DataGridView вертикальная или горизонтальная полоса прокрутки достигла начала или конца?
Привет всем! Подскажите, пожалуйста, каким образом определить, что в DataGridView вертикальная.
Можно ли как-то узнать, что программа была перенесена с одного компьютера на другой
нужно это для того, чтобы программа работала только на доверенных компьютерах. мне предлагали.
Как узнать размер (в байтах) который занимает в даный момент форма или другой контрол
Как узнать размер (в байтах) который занимает в даный момент форма или другой контрол
Как узнать, что файл, к которому обращается программа на Delphi, не занят другой программой?
Ситуация следующая- Есть две программы, которые обращаются к одному текстовому файлу, одна из.
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Как узнать, что вводится в программу: число или буква?
Доброй ночи. Изучил все топики с подобным вопросом, но к однозначному и понятному решению не.
Перенос информации с ноутбука на другой носитель
Возникла моя проблема в том, что недавно ноутбук перестал работать. Все решается переустановкой.
Как узнать что сайт под фильтром или был там?
Интересует вот что: как узнать был ли сайт под фильтрами яндекса вообще и когда и под какими или.
Мониторинг USB-носителей: что копируют на флешку
Мониторинг USB-носителей: что копируют на флешку
Как увидеть, что на флешку сохраняли с компьютера? Нужен грамотный мониторинг USB-носителей? Программа для слежения за ПК позволит быть в курсе абсолютно всех действий пользователя.
Программа для слежения за ПК VkurSe Windows – реальная возможность видеть буквально все, что делает пользователь на компьютер либо в режиме онлайн, либо в виде отчетов (таблицы, графика, диаграммы). В огромный функционал программы входит и полноценный мониторинг USB подключений, который ответит на следующие вопросы:
У вас больше не будет вопроса о том, как это все увидеть – программа удаленного слежения за ПК и лучший USB мониторинг, покажет вам всю информацию.
Как грамотно установить программу слежения на ПК
Для того чтобы наша скрытая программа для слежения работала корректно и позволила контролировать все действия с накопительным устройством, подключений, необходимо не только ее установить, но и правильно настроить.
Шаг 1. Где скачать программу
Скачать установочный файл бесплатно можно на нашем официальном сайте. Также имеется бесплатный тестовый период.
В течение этого тестового периода бесплатная программа для слежения за ПК будет работать в полном функционале, потом подписку нужно будет оплатить.
Шаг 2. Как установить
Установить программу для слежения за ПК не составит никакой сложности – установочный файл скачивается мгновенно, установка предельно простая и интуитивно понятная.
Шаг 3. Как настроить
Теперь о том, как правильно настроить мониторинг USB устройств. Программа для слежения за ПК будет собирать все действия производимые пользователем с флешкой. Для этого нужно – Открыть программу – Настройки – Расширенные настройки.
Выйдет вот такая таблица настроек:
Здесь вы можете установить нужные функции по вашему желанию, потом не забудьте нажать на ОК.
Шаг 4. Данные мониторинга системных папок компьютера
Для просмотра отчета, который сформировала программа для слежения за ПК – Запускаем программу – Отчеты – Отчет по категориям.
Выйдет вот такое окно:
Выбираем нужную дату – нажимаем «Загрузить» – Выйдет таблица:
В этой таблице вы будете видеть конечный результат деятельности слежения за ПК (программа шпион будет работать круглосуточно, если вы установите такие настройки). Можно просмотреть данные за прошедшие сутки, неделю, месяц или год.
Также данные, которые получит мониторинг USB порта, можно просматривать через персональный кабинет на сайте:
Это удаленное слежение за ПК через телефон, ноутбук, планшет или другой компьютер — с любой точки мира через Интернет.
Что еще может программа слежения работы ПК VkurSe Windows
Кроме того, что это полноценный мониторинг флешки, который позволит смотреть, что копируют на флешку, это еще и полноценное удаленное слежение.
Скрытое слежение за ПК позволит вести:
Это действительно надежное лучшее слежение за ПК 2021 года, от которого не скроется ни одно действие пользователя.
Программа слежения за ПК VkurSe Windows – будьте в курсе всех действий пользователей.
Возникли вопросы? Пишите нашим онлайн-консультантам!
Как узнать копировали ли файл с моего компьютера на флешку
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
P.S.: сравнение дат создания и модификации файла, для идентификации копирования/создания файла, допишет тот кому это будет необходимо.
P.P.S: еще неплохо бы продумать выход из скрипта при отсоединении устройства.
‘Функция перебирает все поддирректории указанной дирректории path
Sub IterFolders(path, wql_path)
Dim objFolder, objSubfolder, objSubfolders
Set objFolder = objFSO.GetFolder(path)
Set objSubfolders = objFolder.Subfolders
For Each objSubfolder in objSubfolders
wql_path = wql_path & «\\\\» & objSubfolder.Name
IterFolders objSubfolder.Path, wql_path
‘Отсылает запрос на перехват события создания файла в дирректории path
If f_first_path = true Then
objService.ExecNotificationQueryAsync objSink, «SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE » _
& «TargetInstance ISA ‘CIM_DirectoryContainsFile’ and » _
& «TargetInstance.GroupComponent = ‘Win32_Directory.Name=»»» & path & «»»‘»
Set objFile = objFSO.GetFile(path)
‘путь к коренной дирректории и флаг сопоставления пути для wql-запроса
Dim basepath, f_path
‘ объекты : FSO для перебора папок ; SWbemServices и SWbemSink для ассинхронного запроса ;
Dim objFSO, objService, objSink
Set objFSO = CreateObject(«Scripting.FileSystemObject»)
Set objSink = WScript.CreateObject(«WbemScripting.SWbemSink», «Sink_»)
IterFolders basepath, basepath
‘цикл ожидания, пока выполнится запрос
‘обработчик события OnObjectReady
Sub Sink_OnObjectReady(objWbemObject, objWbemAsyncContext)
‘обработчик события OnCompleted
Sub Sink_OnCompleted(iHResult, objWbemErrorObject, objWbemAsyncContext)
If iHResult=0 Then ‘проверка кода возврата запроса
WScript.Echo «Запрос завершён успешно.»
bdone = True ‘флаг завершения запроса
Все ответы
Она обладает необходимым функционалом.
Нет, невозможно. Но можно отключить либо запись на флэшки, либо совсем.
Create a new key called StorageDevicePolicies and create a REG_DWORD under it called WriteProtect and set the value to 1
HKLM\system\currentcontrolset\services\USBstor.
Change the value of the dword «Start» from 3 to 4.
у меня складывается мнение, что вы не понимаете, что человек от вас хочет узнать.
он хочет узнать, можно ли стандартными утилитами винды (или даже другими) следить за перемещением файлов в системе (точнее копировании).
кстати, есть еще такая штука в файловой системе как журналирование. если мне не изменяет память то в NTFS оно есть. только я с этим не работал.
извените, если что то не так понял
Роман, но я так и ответил: возможно. Я предложил использовать события WMI, поскольку этот способ не обладает указанными вами недостатками хуков на апи. Но! Если уже все написано, то зачем тратить время на разработку?
В NTFS есть аудит, но на флэшках редко бывает NTFS. 😉
Есть продукты, которые контролируют использование USB устройств, например:
Если орыться, то можно найти и еще
Используй WMI, это действительно лучше api-хука.
набор готовых скриптов:
| andeath написано: | |
|
Остается только пожелать удачи. По отзывам, Device Lock, не смотря на многолетнюю историю продукта, рекламу, сертификаты все же доставляет множество проблем, но лучшего продукта при этом нет. А вы готовы потягаться с ДиалогНаукой. 🙂
Не понял, с помощью WMI можно сделать все то что я описал в начале?
Насколько, я заметил WMI позволяет отслеживать только создание, удаление и изменение файлов в указанной области. Решение задачи было бы возможно, если бы WMI позволял как-нибудь реагировать на подключение новых запоминающих устройств. Такое возможно?
Не понял, с помощью WMI можно сделать все то что я описал в начале?
Насколько, я заметил WMI позволяет отслеживать только создание, удаление и изменение файлов в указанной области. Решение задачи было бы возможно, если бы WMI позволял как-нибудь реагировать на подключение новых запоминающих устройств. Такое возможно?
Вопросы касаются исключительно vbs:
А есть метод определить копирование файла на CD? Для стандартного win-резака можно следить за папкой, куда винда временно кидает файлы (кстати, путь не напомните?), но как быть с Nero и т.п.
Сложности добавляет то, что надо отслеживать пермещение ВСЕХ файлов, а не отдельных.
На данный момент делаю:
1) создаю скрипт следящий за текущими и новыми подключенными съемными дисками, Floppy и CD приводами, ну и за локальными дисками с интерфейсом usb (для внешних хардов). Если уже подключенны такие устройства, то для какждого из них запускается скрипт описанный во втором разделе.
3) после отключения устройства убиваю процесс.
В связи со всем этим возникает следующие вопросы:
1) как определить наличие дискеты во флопи-приводе и диска в сдруме?
У меня на работе есть хорошая присказка «MSDN, батенька». Произношу не я 🙂 Я обычно говорю «Гугл».
По первому вопросу ответ, но скрипеть будет:
А вообще у тебя задача всё больше и больше разрастается, поэтому рекомендую сделать ход конём:
Еще вопрос: 1) как можно определить какие логические диски соответствуют физическим; 2) возможно ли используя WMI и методику в ссылках на примеры приведенных выше, узнать какой именно файл был скачен (полный путь)
+ ссылка, к сожалению, мертвая.
Еще вопрос: 1) как можно определить какие логические диски соответствуют физическим; 2) возможно ли используя WMI и методику в ссылках на примеры приведенных выше, узнать какой именно файл был скачен (полный путь)
+ ссылка, к сожалению, мертвая.
Какая ссылка мёртвая? на файлмон? Только что открыл.
Сам же просил «вопросы касаются только vbs». Вот для vbs:
Свойство DriveType=Removable показывает, что диск извлекаемый.
switch (d.DriveType)
<
case 0: t = «Unknown»; break;
case 1: t = «Removable»; break;
case 2: t = «Fixed»; break;
case 3: t = «Network»; break;
case 4: t = «CD-ROM»; break;
case 5: t = «RAM Disk»; break;
>
Для wmi (status, mediatype, statusinfo и другие посмотри):
