Existe alguma maneira de verificar se alguém (um hacker que teve acesso físico à minha máquina) acessou ou copiou um arquivo (um vídeo) no meu sistema? Eu realmente preciso saber.
Respostas:
Usando o terminal, você pode verificar quando a última vez que o arquivo de vídeo foi acessado, se for posterior à última vez que você o acessou, há uma chance de ele ter copiado. Obviamente, se você acessou o arquivo desde então, ou não consegue se lembrar quando o acessou pela última vez, isso não será muito útil. Por acesso, quero dizer copiar, reproduzir ou mover o arquivo.
No terminal, use o comando:
stat /path/to/video
Você obterá a saída no seguinte formato:
$ stat file
File: â?~fileâ?T
Size: 435 Blocks: 8 IO Block: 4096 regular file
Device: 801h/2049d Inode: 262181 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2016-09-12 10:30:01.186634836 +0100
Modify: 2015-10-13 15:18:11.669085522 +0100
Change: 2015-10-13 15:18:11.669085522 +0100
Birth: -
As informações após a Access:linha informarão quando foi o último acesso.
Esse método certamente não é infalível, o tempo de acesso ao arquivo pode ser falsificado ou o horário do sistema pode ser alterado pela duração do acesso ao arquivo e redefinido para o horário correto. Tudo depende do nível de habilidade do usuário que está tentando copiar seu vídeo. Eles podem não ter se incomodado se iam chantagear você de qualquer maneira, mas não há como discernir essas informações. É muito difícil rastrear o acesso a arquivos sem ter instalado anteriormente um IDS (Sistema de detecção de intrusões), como snort ou tripwire.