Jakie ślady pozostały po uruchomieniu przez USB?

12
  1. Czy to prawda, że ​​rozruchowy dysk USB Ubuntu nie pozwala na zapisanie niczego na dysku twardym komputera?
  2. Jeśli tak, to czy komputer z dyskiem SSD, takim jak mój, również nie pozostanie bez śladu rozruchowej sesji USB?
boot usb hard-drive security drive Poszukiwacz
źródło

Odpowiedzi:

20

Wiele dysków przechowuje licznik cykli włączania, które można odczytać za pomocą SMART. (Na przykład w systemie Windows można użyć CrystalDiskInfo - na wszystkich tych zrzutach ekranu można przeczytać „Liczenie przy włączeniu” po prawej stronie okna https://www.google.com/search?q=crystaldiskinfo&source=lnms&tbm = isch )

Ten licznik będzie wrażliwy na uruchamianie z innego dysku, ale nie będzie określony (licznik zwiększy się również w celu przejścia do ekranu konfiguracji BIOS lub w przypadku, gdy zasilanie zostało ponownie wyłączone przed załadowaniem systemu operacyjnego).

Ponieważ ten licznik jest kontrolowany przez elektronikę napędu, nic nie może zrobić oprogramowanie Ubuntu na pamięci USB, aby zapobiec jego aktualizacji. W niektórych przypadkach może być możliwe wyczyszczenie lub ponowne zapisanie licznika, ale byłoby to specyficzne dla wersji modelu dysku / oprogramowania układowego, a wyczyszczenie licznika nadal byłoby wykrywalne.

Niektóre BIOS-y systemowe przechowują także dziennik zdarzeń systemowych. Nie widziałem takiego, który nagrywa uruchamianie z nośników wymiennych, ale z pewnością jest to wykonalne.

Oczywiście możesz również pozostawić ślady fizyczne na samym porcie USB, takie jak zakłócenie warstwy utleniającej.

Ben Voigt
źródło
licznik ten jest kontrolowany przez elektronikę napędu, dokładnie oprogramowanie układowe dysku.
heemayl
Oczywiście, że był cykliczny, ponowne uruchomienie się nie liczy?
mckenzm,
2
@mckenzm: W zależności od projektu systemu zasilania, ponowne uruchomienie może, ale nie musi, polegać na krótkim odłączeniu zasilania z urządzeń peryferyjnych, takich jak dyski, a zależnie od projektu kontrolera dysku, pojemność może być wystarczająca do przeprowadzenia go przez krótkie odcięcie zasilania.
Ben Voigt,
18

Czy to prawda, że ​​rozruchowy dysk USB Ubuntu nie pozwala na zapisanie niczego na dysku twardym komputera?

Nie, można zamontować dyski i pisać wszystko nad nimi. W końcu pamięć USB jest głównym sposobem, w jaki użytkownicy Ubuntu instalują Ubuntu po raz pierwszy.

Ale domyślnie Ubuntu nie montuje niczego, o czym ci nie powiesz.

Więc jeśli nie zamontujesz żadnej partycji „C:” w rzeczywistości, nie pozostawi po sobie śladu uruchomienia systemu Ubuntu.

Oli
źródło
6
Czy to prawda, że ​​na dysku SATA znajduje się użyteczna partycja wymiany?
kasperd,
1
@kasperd: systemd-gpt-auto-generatorsprawdzi GPT i automatycznie wykryje partycje wymiany, ale sprawdza tylko „dysk główny”. Byłoby raczej źle, gdyby system przypadkowo wykorzystał przestrzeń wymiany z wymiennego woluminu. Ale możesz polegać na tym, że wolumin główny jest nieusuwalny.
MSalters,
6
Testowałem na maszynie wirtualnej z zainstalowanym Ubuntu 16.04 (64-bitowy, tryb UEFI), który ma osobną partycję wymiany 4 GB. Uruchomienie tej maszyny wirtualnej z obrazu ISO 16.04 (instalacja / DVD na żywo) spowoduje utworzenie systemu na żywo z partycją wymiany dysku zamontowaną i aktywowaną automatycznie. Nie wiem, w jaki sposób system na żywo decyduje, które partycje wymiany mają zostać zamontowane, ale na pewno czasami tak robi.
Byte Commander
1
Jeśli używa partycji wymiany, szkoda, jeśli w niej były przechowywane dane hibernacji.
mckenzm,
1
Informacja (ostrzeżenie) o zamianie powinna być edytowana w odpowiedzi.
Jonas Schäfer,
3

Odpowiedź na 1 .:

Ubuntu Boot USB zwykle nawet nie montuje dysku twardego / SSD twojego systemu, a jeśli jest zainstalowany, jest tylko do odczytu, chyba że każesz Ubuntu traktować go jako odczyt i zapis.

Odpowiedź na 2 .:

Nie będzie śladu sesji USB, chyba że zapiszesz na HDD / SSD (patrz odpowiedź 1).

Videonauth
źródło
Rozumiem z tych dobrych odpowiedzi, że dyski SSD są tak samo odporne na niechciane ślady, jak dyski HDD podczas rozruchu przez USB. Dobrze wiedzieć.
Poszukiwacz
Cóż, jeśli napiszesz na dysk SSD, mogą pojawić się również ślady, pomyślałem, że nie trzeba mówić, ale odpowiednio zaktualizuje moją odpowiedź.
Videonauth,
4
Powiedziałbym, że nie ma różnicy w odporności na niechciane ślady między dyskiem SSD a dyskiem twardym.
Soren A
2

Uważaj na niektóre odpowiedzi na tej stronie, bardzo łatwo jest zapisywać i / lub niszczyć dane na dyskach wewnętrznych podczas uruchamiania dysku flash Live lub Trwałego.

Korzystam z instalacji pendrive, aby to napisać, kiedy uruchamiam w Unity, widzę, że wszystkie moje wewnętrzne partycje są zamontowane.

Jeśli otworzę gparted i chcę zmodyfikować, sformatować lub usunąć partycję, zazwyczaj najpierw trzeba ją odinstalować.

Podczas gdy w parterze nic nie musi być odinstalowane, aby utworzyć nową tablicę partycji i wyczyścić dysk wewnętrzny.

Używanie dd z dysku flash może być również bardzo niebezpieczne, jeden bardzo mały błąd i wszystko na dowolnym dysku można wyczyścić.

Odpowiedź na twoje drugie pytanie jest prawdziwa, może nie pozostać ślad po sesji rozruchowej USB lub cokolwiek innego.

Nie jest wymagane hasło do uprawnień roota na większości aktywnych i trwałych napędów USB

Żywe i trwałe instalacje są wystarczająco bezpieczne, ale poznaj ryzyko.

CSCameron
źródło
1

Sesja Live Ubuntu USB nie pozostawia żadnych śladów na dysku twardym komputera, na którym jest uruchamiana, chyba że Ubuntu jest zainstalowany na dysku twardym z sesji Live USB i instaluje Ubuntu z Live USB Ubuntu lub wprowadza zmiany na dysku twardym komputera nie jest konieczne, tylko opcjonalne.

Karel
źródło
6
Możesz montować i pisać na dyskach lokalnych, bez instalowania Ubuntu, więc Twoja odpowiedź jest zła.
Soren A
Po uruchomieniu dysku Live lub trwałego dysku flash większość partycji na komputerze jest już zamontowanych. W gparted konieczne jest odmontowanie większości partycji przed usunięciem, sformatowaniem lub zmniejszeniem. Odłączanie czegokolwiek nie jest konieczne, aby utworzyć nową tablicę partycji i wyczyścić dysk wewnętrzny.
CSCameron,
1
W rzeczywistości jednym z popularnych powodów montowania dystrybucji na żywo jest ponowne obrazowanie dysku wewnętrznego z klonu lub wzorca, a jeśli jest to dysk z systemem Windows, usunięcie lub zmiana nazwy niektórych plików. Możliwe jest jednak pozostawienie śladu. W razie wątpliwości otwórz pudełko i odłącz dysk.
mckenzm,
0

Znalazłem różnice w odpowiedziach na tej stronie, zastanawiające i zdecydowałem się na szybkie porównanie między instalacjami rozruchowymi USB przy użyciu Ubuntu 16.04.1 64bit Desktop:

  • Pełna instalacja przy użyciu Ubiquity.

  • Live syslinux Zainstaluj za pomocą Kreatora dysku startowego.

  • Trwała instalacja grub2 przy użyciu mkusb / dus

Instalacje Live i Trwałe miały te same cechy, z wyjątkiem wymienionych.

Pełna instalacja, (FS) vs instalacja na żywo / instalacja trwała, (L / P)

System operacyjny USB automatycznie montuje wszystkie partycje * - Pełny - tak, L / P - tak

Zapis partycji wewnętrznej bez SU - Pełny - tak, L / P - nie

Zapis partycji wewnętrznej za pomocą SU - Pełny - tak, L / P - tak

Super Użytkownik wymaga hasła - Pełny - tak, L / P - nie

Gparted wymaga hasła - Pełny - tak, L / P - nie

Instalacja na dysku wewnętrznym wymaga hasła - Pełny - nie dotyczy, nie dotyczy - nie

Wykorzystuje przestrzeń wymiany dysku wewnętrznego, (jeśli jest dostępna) - Pełna - tak, L / P - tak

Wykorzystuje wewnętrzną partycję casper-rw napędu, (jeśli jest dostępna) - Pełna - nie dotyczy, Aktywna - nie, Trwała - tak.

Tak długo, jak komputer nie ma partycji wymiany, partycji casper-rw, zachowujesz ostrożność podczas zapisywania rzeczy, nie używasz gparted, boot-repair, kliknij ikonę instalacji, wpisz „sudo” lub „dd” lub spróbuj wykonać kopię zapasową, powinieneś być OK. Jeśli jest to Live USB ((bez trwałości), a wewnętrzny dysk to Windows, po prostu nie wpisuj „sudo” ani nie używaj żadnych narzędzi.

Wszystkie wyniki w tym przeglądzie można łatwo powielić.

  • Partycje ISO9660 są montowane, ale są obrazami tylko do odczytu, podobnie jak folder cdrom.
CSCameron
źródło
Czy byłbyś tak miły, aby przetłumaczyć to na język laika? Pytanie, na które chciałem odpowiedzieć, kwalifikowane teraz w odpowiedzi na zalew odpowiedzi, brzmiało po prostu tak: jeśli uruchomię Ubuntu na USB i nie zrobię nic, aby uzyskać dostęp do dysku twardego lub SSD komputera, czy można wycieknąć z mojej działalności im?
Poszukiwacz
2
Tak długo, jak komputer nie ma partycji wymiany, partycji casper-rw, zachowujesz ostrożność podczas zapisywania rzeczy, nie używasz gparted, boot-repair, kliknij ikonę instalacji, wpisz „sudo” lub „dd” lub spróbuj wykonać kopię zapasową, powinieneś być OK. Jeśli jest to Live USB ((bez trwałości), a wewnętrzny dysk to Windows, po prostu nie wpisuj „sudo” ani nie używaj żadnych narzędzi.
CSCameron
1
@CSCameron Twój komentarz powyżej jest faktyczną odpowiedzią: dopóki nie będzie swapu lub casper-rw i nic innego nie zostanie zamontowane, jawnie lub przypadkowo, sesja na żywo nie dotknie wewnętrznych dysków. W przeciwnym razie może być tutaj słowem operatywnym. Mimo to zamiana nie jest zachowywana, a ślady użytkowania podczas sesji na żywo nie są „widoczne” dla nikogo poza specjalistami kryminalistycznymi.
Odpowiedź na pytanie PO nr 1 brzmi: nie, to nieprawda, Ubuntu pozwala na zapisywanie rzeczy na twardym dysku komputera. No 2 również nie jest prawdą, na komputerze można pozostawić wiele śladów sesji USB, w tym nowy system operacyjny. OP zakwalifikował swoje pytanie, a nowa odpowiedź jest taka, że ​​wewnętrzny dysk jest bezpieczny, o ile użytkownik jest ostrożny i wie, co robi, wymazałem twardy komputer roboczy zaledwie miesiąc temu, ale nie jestem ostrożny i lubię eksperymentować.
CSCameron
Dziękuję CelticWarrior Dodałem ten komentarz do mojej odpowiedzi.
CSCameron