Jump to content

Welcher Dateisystemtreiber?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Alle

 

Ist es moeglich rauszufinden mit welchem Dateisystemtreiber auf ein ntfs

zugegriffen wurde?

 

Es geht um einen Rechner der in exponierter Lage steht.

 

Als ich mir den Rechner Ansah fand ich ihn mit offenem Bios vor,

die Einstellungen waren, naja etwas eigenartig.

 

Ich weiss genau das ich das Bios mit einem Passwort versehen habe als

ich den Rechner aufgestellt habe.

 

Nun waere es gut zu wissen ob man irgendwie nachsehen kann ob da

jemand mit Dos oder Linux Treibern auf das ntfs Zugegriffen hatt.

 

 

mfg

Stefan

Link zu diesem Kommentar

Hallo,

 

ist das ein XP Rechner oder ein Windows Server?

XP: How to audit user access of files, folders, and printers in Windows XP

2K3: Operation-based auditing on files or folders: Auditing

Auditing funktioniert erst ab Aktivierung des Features.

 

Das BIOS Passwort liegt nicht im NTFS Teil der Festplatte. In manchen Fällen im NVRAM des BIOS - sprich: Gar nicht auf Platte.

Link zu diesem Kommentar
Ist es moeglich rauszufinden mit welchem Dateisystemtreiber auf ein ntfs

zugegriffen wurde?

 

ich würde mal pauschal sagen: nein.

 

es wird halt einfach auf das dateisystem zugegriffen, jedoch wird nirgends gespeichert, mit welchem treiber das geschieht. wenns eine linux-live cd ist, dann schreibt der treiber (höchstwahrscheinlich ntfs-3g) ja auch nicht irgendwo rein, dass diese oder jene datei mit dem linuxtreiber gelesen/geändert wurde.

 

ich lasse mich gerne korrigieren, aber ich wüsste jetzt spontan keine möglichkeit, sowas im nachhinein zu klären.

 

 

lg

johannes

Link zu diesem Kommentar
Off-Topic:
Mein 10 jahre alter Tecra 8000 war da sehr zugeknöpft. Keine Chance ohne den Toshiba Service. Komplett zerlegt, alle Akkus/Batterien 'raus.


Wie auch immer: Kern der Aussage ist, daß es im Nachhinein ohne Auditing nicht möglich ist. Wenn mit einem alternativen NTFS Treiber bzw. einem anderen OS darauf zugegriffen wird erst recht nicht.
Link zu diesem Kommentar

Hallo

 

Hallo,

 

ist das ein XP Rechner oder ein Windows Server?

XP: How to audit user access of files, folders, and printers in Windows XP

2K3: Operation-based auditing on files or folders: Auditing

Auditing funktioniert erst ab Aktivierung des Features.

Danke.

Es ist ein XP das in einer w2k3 Domaene laeuft.

Ich werde mir das am Wochende nochmal genau ansehen.

 

Ich verstehe das richtig das aktiviertes Auditing nichts bringt wenn ich z.b mittels

einer Linux Boot CD auf die Platte zugreife?

 

Gibt es Moeglickeiten bzw zusaetzliche Software sowas zu realisieren?

 

ciao

Stefan:wq

Link zu diesem Kommentar

Es gibt bei NTFS noch die Last Access Time (Time Stamp):

How NTFS Works: Local File Systems

Last Access Time

 

Each file and folder on an NTFS volume contains an attribute called Last Access Time. This attribute shows when the file or folder was last accessed, such as when a user performs a folder listing, adds files to a folder, reads a file, or makes changes to a file. The most up-to-date Last Access Time is always stored in memory and is eventually written to disk within two places:

 

* The file’s attribute, which is part of its MFT record.

* A directory entry for the file. The directory entry is stored in the folder that contains the file. Files with multiple hard links have multiple directory entries.

 

The Last Access Time on disk is not always current because NTFS looks for a one-hour interval before forcing the Last Access Time updates to disk. NTFS also delays writing the Last Access Time to disk when users or programs perform read-only operations on a file or folder, such as listing the folder’s contents or reading (but not changing) a file in the folder. If the Last Access Time is kept current on disk for read operations, all read operations become write operations, which impacts NTFS performance.

 

Note

 

* File-based queries of Last Access Time are accurate even if all on-disk values are not current. NTFS returns the correct value on queries because the accurate value is stored in memory.

 

NTFS eventually writes the in-memory Last Access Time to disk as follows.

(...)

 

Zu Deiner Frage: Richtig, bringt nichts bzw. wenig.

 

Auf Anhieb fällt mir da nichts ein. Zukünftig könntest Du aber die Platte mittels BitLocker (Boardmittel Vista/2K8) oder TrueCrypt (Freeware für XP/Vista/...) verschlüsseln.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...