确定是否已卸下硬盘并从中复制了数据？

是否有一种方法或工具可以检测到有人是否已将硬盘与计算机分离，从硬盘中复制了数据并将其退还给我？

我想确保没有人在我不知情的情况下做到这一点，但是我不确定如何做到这一点。

• 注意：我使用Deep freeze。

在这种情况下，使用深度冻结是无关紧要的。

如果他们是半能干的，他们将使用只读接口。

仅当最后一个访问时间戳使用读和写接口时，才会更改它们。关闭写接口很简单。这是取证工作。他们从不将原始驱动器放在读取/写入界面中。总是只读的。然后他们制作一份工作副本。所有这些都无需更改原始驱动器上的任何一位。

最好的选择是使用磁盘加密，例如Bitlocker或TrueCrypt。

编辑：

非常感谢，但是请您进一步说明一下读写接口的含义吗？

这些设备。。。

它们物理上阻止对驱动器的写访问。出于法律和实际原因，通常用于取证/高清恢复，例如Amanda Knox案。

每个人似乎都在进行全盘加密，这当然具有保护您的数据的优点，但是并没有解决告诉别人是否在您的计算机中并弄乱您的硬盘驱动器的问题。

对于这个简单的任务，找到一包令人讨厌的粘性普通标签，一旦粘贴，它们就会撕裂而不是干净地撕下来，在其上签名并贴在将硬盘固定到位的一颗螺丝上（不要忘记首先清除灰尘以保持良好的粘合力）。规模不及制造商篡改明显的密封件，但应足以防止任何人在您不知情的情况下卸下硬盘。这意味着他们要么必须打破警告您事实的标签，要么将电线从硬盘驱动器中拔出，然后将其安装在笔记本电脑上，从而迫使他们花费更多时间打开机箱，看起来非常可疑！

同样值得检查一下电脑背面的挂锁连接点，简单，相当安全且有效。

两种方法都无法使您获取数据，但都增加了极大的不便，并迫使攻击者公开采取行动（将标签和断线钳撕裂到挂锁上）或花费大量时间浏览您的PC并有被发现的风险。 。

要在物理层面发现篡改，可以在驱动器的安装硬件或数据电缆连接上使用诸如扭矩密封之类的工具。这是一种漆，干燥后会变脆，因此任何篡改都会破裂并破坏您安装在硬件上的球团。它用于确保诸如直升机上的螺母和螺栓之类的东西没有移动，并且仍然扭曲到规格。

SMART属性可以帮助确定磁盘是否在两个间隔之间被篡改。在Linux上，可以使用“ smartctl -a / dev / sda”查询这些属性。

最简单的属性可能是Power_Cycle_Count。当您打开计算机电源时，它将比上次关闭计算机时的值大一。因此，通过在关闭电源之前记住该值，并在下次启动时对其进行检查，可以确定磁盘是否在两次启动之间已经通电。

只是一个想法。也许SMART（如果有）包含一些可以使用的信息。

我对防止读取驱动器并告诉别人是否这样做感到悲观，因此我建议也使用加密。您仍然不知道是否有人复制了加密数据，但是如果有人这样做，就很难破解（希望如此）。

现在，攻击者很聪明，被告知，他有时间，设备和金钱吗？一个简单的技巧（如果坏人正在这里阅读）是行不通的，最好是将一根难以​​看见且容易折断的头发粘在驱动器和机箱上，最好是：穿过数据电缆。

现在，如果有人卸下驱动器，他将不提头发就折断头发。除了他读了这个建议，并且非常谨慎地行动。

如果他装备精良，但您也可以，可以拿一根头发进行DNA测试。你不说是谁的头发。入侵者可能用随机的一根头发代替了头发，但不能用正确的DNA头发代替。但是也许他知道如何将折断的头发粘在一起？还是他知道如何溶解胶水？:)

除非您确切地记得在涉嫌入侵之前如何将物品放置在计算机中（照片记忆或照片是立即想到的两个此类工具），否则很难知道是否卸下了硬盘驱动器从您的计算机。

注意：机箱入侵功能通常可以绕开，因此尽管它可能会有所帮助，但这可能也不是最可靠的方法。

可能的是，知道如何执行此操作的入侵者可能也很聪明，不会以任何方式修改磁盘，或者只复制他们想要/需要的文件，或者完整复制磁盘，以便他们可以“窥探”一下。在以后的闲暇时间。

底线是，如果您真正担心有人在访问您的硬盘，则必须采取预防措施。如果从物理上将计算机移开以避开危险不是可行的选择，那么加密效果很好。这是我最喜欢的磁盘加密工具：

  TrueCrypt（免费和开源）
  http://www.truecrypt.org/

我特别喜欢此工具的地方在于，它没有内置后门，因此，如果您采取了正确的步骤来保护加密密钥，那么即使是法院命令也不会将其解密。

该工具如何与您的情况相关：

如果您的硬盘驱动器是加密的，并且入侵者出于访问数据的目的将其从计算机中删除，他们将仅找到加密的数据（并且最初，操作系统很可能将其检测为“未初始化的磁盘”），几乎对每个人来说都是随机信息。

入侵者可以通过两种方式访问​​您的数据：

1. 对您的密码进行“ 幸运的猜测 ”（因此，即使使用蛮力攻击工具，也要选择一个难以猜测的好密码）或密钥（虽然不太可能，但并非完全不可能）

2. 您向入侵者提供了密码或密钥的副本（有意或无意）

对于普通的家用计算机（没有特殊的物理安全性），当计算机关闭时，使用硬件完成的活动将不复存在。

如果卸下磁盘并以只读方式安装，则很难确定是使用任何软件完成的。

唯一想到的是，如果在这样的活动期间磁盘是可写的，并且主机操作系统最终更新了磁盘上的时间戳记（文件，目录），则您可能能够检测到磁盘已在系统外部进行了物理访问。随之而来的是其他一些警告，例如，另一个系统的时间也已正确设置（如果用户没有想到只读安装，这是合理的期望），并且您知道系统将要通电时的时间窗口，向下（因此，该窗口中的访问时间值得怀疑）。

为了使此类数据可用，您必须在未完成“取证”的情况下安装没有写访问权的磁盘。然后，您也许可以读取单个文件和目录的访问时间，以识别查看（读取或复制）的内容。

现在，如果这是将来可能发生的数据盗窃行为，那么提前计划就容易多了，只需加密所有关键数据即可。

我们不是在这里简单地避开真正的问题吗？

像新生婴儿一样，我们绝对不要将PC独自留在开放的地方！您的笔记本现在在哪里？安全始于我们，而不是事实。

个人数据带有一定程度的偏执狂。如果将其留在系统上，则可能会被盗。如果您的数据至关重要，则在创建/获取数据后，立即将其移至安全存储设备（也称为加密SD闪存设备）中。然后，该设备可以随时与您在一起。

当前的计算机技术将无法检测物理存储设备上的数据篡改。正是由于缺乏安全性，才使像我这样的PC技术人员在病毒/恶意软件损坏的情况下可以挽救用户数据。将来在存储设备中嵌入正在运行的安全程序时，设备本身将知道何时对其进行了篡改。

只需负责任地处理您的数据！如果您允许某人访问，那么您就不会抱怨它是否被利用！

作为已发布问题的直接答案；到今天为止，还不能，无法确定是否有人已删除并仅复制了您的文件。

谢谢大家的聆听。

许多新计算机允许使用密码保护硬盘驱动器本身。这将是BIOS设置。该保护是通过驱动器的电子设备强制执行的，因此将禁止另一台机器上的访问。

请记住，加密虽然是一个不错的主意，但是如果您需要进行加密的话，也会使您无法从许多计算机问题中恢复过来。而且，如果硬盘驱动器开始出现故障，您将永远无法从加密磁盘恢复文件。因此，请确保您具有良好的备份。并且加密磁盘的磁盘映像仍被加密，并且可以在必要时还原到新驱动器。

Windows内置的EFS（加密文件系统）可用于单个文件和文件夹。而且免费的Windows BitLocker加密工具可以加密整个驱动器。