Quelles traces restent après le démarrage par USB?

12
  1. Est-il vrai qu'un lecteur USB Ubuntu amorçable ne permet rien d'écrire sur le disque dur de l'ordinateur?
  2. Dans l'affirmative, un ordinateur doté d'un lecteur SSD, comme le mien, ne laisserait-il pas non plus trace d'une session USB amorçable?
Chercheur
la source

Réponses:

20

De nombreux disques stockent un compteur de cycles de mise sous tension, lisible via SMART. (Par exemple, dans Windows, on pourrait utiliser CrystalDiskInfo - dans toutes ces captures d'écran, vous pouvez lire le "Power On Count" sur le côté droit de la fenêtre https://www.google.com/search?q=crystaldiskinfo&source=lnms&tbm = isch )

Ce compteur sera sensible au démarrage d'un autre disque, mais il ne sera pas spécifique (le compteur augmenterait également pour accéder à l'écran de configuration du BIOS, ou dans le cas où l'alimentation a été coupée à nouveau avant de charger le système d'exploitation).

Étant donné que ce compteur est contrôlé par l'électronique du lecteur, le logiciel Ubuntu sur la clé USB ne peut rien faire pour l'empêcher de se mettre à jour. Dans certains cas, il peut être possible d'effacer ou de réécrire le compteur, mais cela serait spécifique au modèle de disque / version du micrologiciel et l'effacement du compteur serait toujours détectable.

Certains BIOS système conservent également un journal des événements système. Je n'en ai pas vu un qui enregistre le démarrage à partir d'un support amovible, mais c'est certainement faisable.

Bien sûr, vous pouvez également laisser des traces physiques sur le port USB lui-même, comme perturber une couche d'oxydation.

Ben Voigt
la source
ce compteur est contrôlé par l'électronique du lecteur avec précision le firmware du disque.
heemayl
Bien sûr, il a été cyclé, un redémarrage ne compte pas?
mckenzm
2
@mckenzm: selon la conception du système d'alimentation, un redémarrage peut ou non impliquer une coupure brève de l'alimentation des périphériques tels que les disques, et selon la conception du contrôleur de disque, il peut y avoir une capacité suffisante pour effectuer une brève coupure d'alimentation.
Ben Voigt
18

Est-il vrai qu'un lecteur USB Ubuntu amorçable ne permet rien d'écrire sur le disque dur de l'ordinateur?

Non. Vous pouvez monter les disques et écrire dessus. Après tout, la clé USB est le principal moyen utilisé par les utilisateurs d'Ubuntu pour installer Ubuntu pour la première fois.

Mais par défaut, Ubuntu ne montera rien de ce que vous ne lui dites pas.

Donc, si vous n'avez pas monté la partition "C:" qui est en réalité, cela ne laisserait aucune trace d'avoir été démarré sur Ubuntu.

Oli
la source
6
Cela reste-t-il vrai s'il existe une partition de swap utilisable sur le disque SATA?
kasperd
1
@kasperd: systemd-gpt-auto-generatorvérifie un GPT et détecte automatiquement les partitions de swap, mais il ne vérifie que le "disque racine". Ce serait plutôt mauvais si un système utilisait accidentellement l'espace de swap d'un volume amovible. Mais vous pouvez compter sur le volume racine non amovible.
MSalters
6
J'ai testé sur une machine virtuelle avec Ubuntu 16.04 (64 bits, mode UEFI) installé qui a une partition de swap séparée de 4 Go. Le démarrage de cette VM à partir d'une image ISO 16.04 (installation / DVD en direct) se traduira par un système en direct avec la partition de swap du disque montée et activée automatiquement. Je ne sais pas comment le système en direct décide des partitions de swap à monter, mais il le fait parfois.
Byte Commander
1
S'il utilise la partition de swap, tant pis si les données d'hibernation y étaient stockées.
mckenzm
1
Les informations (avertissement) sur l'échange doivent être modifiées dans la réponse.
Jonas Schäfer
3

Réponse à 1:

Le démarrage USB d'Ubuntu ne monte normalement même pas le disque dur / SSD de votre système, et s'il est monté, il est en lecture seule, sauf si vous demandez à Ubuntu de le traiter comme lu et écrit.

Réponse à 2 .:

Il n'y aura aucune trace d'une session USB à moins que vous n'écriviez sur votre disque dur / SSD (voir réponse 1).

Videonauth
la source
Je comprends de ces bonnes réponses que les disques SSD sont tout aussi immunisés contre les traces indésirables que les disques durs lors du démarrage par USB. Bon à savoir.
Seeker
Eh bien, si vous écrivez sur votre SSD, il pourrait y avoir des traces aussi, pensais qu'il était inutile de le dire, mais mettra à jour ma réponse en conséquence.
Videonauth
4
Je dirais qu'il n'y a pas de différence d'immunité aux traces indésirables entre SSD et HDD.
Soren A
2

Faites très attention à certaines réponses sur cette page, il est très facile d'écrire et / ou de détruire les données sur votre (vos) disque (s) interne (s) lorsque vous utilisez un lecteur flash Live ou Persistant.

J'utilise une installation pendrive pour écrire ceci, quand je regarde Unity, je vois que toutes mes partitions internes sont montées.

Si j'ouvre gparted et que je souhaite modifier, formater ou supprimer une partition, elle doit généralement être démontée.

Alors que dans gparted, rien ne doit être démonté pour créer une nouvelle table de partition et effacer le lecteur interne.

Il peut également être très dangereux d'utiliser dd à partir d'un lecteur flash, une très petite erreur et tout ce qui se trouve sur n'importe quel lecteur peut être effacé.

La réponse à votre deuxième question est vraie, il ne reste peut-être aucune trace de votre session USB amorçable ou autre chose.

Aucun mot de passe n'est requis pour l'autorisation root sur la plupart des lecteurs USB Live et persistants

Les installations en direct et persistantes sont suffisamment sûres, mais apprenez les risques.

CSCameron
la source
1

Une session USB Ubuntu en direct ne laisse aucune trace sur le disque dur de l'ordinateur sur lequel elle est démarrée, sauf si Ubuntu est installé sur le disque dur à partir de la session USB en direct, et en installant Ubuntu à partir d'un USB live Ubuntu ou en apportant des modifications au disque dur de l'ordinateur n'est pas nécessaire, seulement facultatif.

Karel
la source
6
Vous pouvez monter et écrire sur des disques locaux, sans installer Ubuntu, donc votre réponse est fausse.
Soren A
Lorsque je démarre un lecteur flash Live ou persistant, la plupart des partitions de l'ordinateur sont déjà montées. Dans gparted, il est nécessaire de démonter la plupart des partitions avant de supprimer, de formater ou de réduire. Il n'est pas nécessaire de démonter quoi que ce soit pour créer une nouvelle table de partition et effacer le lecteur interne.
CSCameron
1
En fait, l'une des raisons les plus courantes pour monter une distribution en direct est de recréer une image du disque interne à partir d'un clone ou d'un maître, et s'il s'agit d'un disque Windows, de supprimer ou de renommer certains fichiers. Il est cependant possible de ne laisser aucune trace. En cas de doute, ouvrez la boîte et débranchez le disque.
mckenzm
0

J'ai trouvé les différences de réponses sur cette page déroutantes et j'ai décidé de faire une comparaison rapide entre les types d'installation USB amorçables à l'aide d'Ubuntu 16.04.1 64bit Desktop:

  • Installation complète en utilisant Ubiquity.

  • Installation syslinux en direct à l'aide de Startup Disk Creator.

  • Installation persistante de grub2 à l'aide de mkusb / dus

Les installations en direct et persistantes avaient les mêmes caractéristiques, sauf indication contraire.

Installation complète, (FS) vs installation en direct / persistante, (L / P)

Le système d'exploitation USB monte automatiquement toutes les partitions * - Complet - oui, L / P - oui

Partition interne accessible en écriture sans SU - Complète - oui, L / P - non

Partition interne accessible en écriture avec SU - Complète - oui, L / P - oui

Le super utilisateur a besoin d'un mot de passe - Complet - oui, L / P - non

Gparted nécessite un mot de passe - Complet - oui, L / P - non

L'installation sur le disque interne nécessite un mot de passe - Complète - N / A, L / P - non

Utilise l'espace de swap du lecteur interne, (si disponible) - Complet - oui, L / P - oui

Utilise la partition casper-rw du lecteur interne, (si disponible) - Complète - N / A, Live - non, Persistante - oui.

Tant que l'ordinateur n'a pas de partition de swap, une partition casper-rw, vous faites attention où vous enregistrez des choses, vous n'utilisez pas gparted, boot-repair, cliquez sur l'icône d'installation, tapez "sudo" ou "dd" ou essayez de sauvegarder quoi que ce soit, vous devriez être OK. S'il s'agit d'un Live USB (sans persistance) et que le lecteur interne est Windows, ne tapez simplement pas "sudo" et n'utilisez aucun utilitaire.

Tous les résultats de cette revue peuvent être facilement dupliqués.

  • Les partitions ISO9660 sont montées mais sont des images en lecture seule., Tout comme le dossier cdrom.
CSCameron
la source
Seriez-vous assez aimable pour traduire cela en langage profane? La question à laquelle j'ai cherché à répondre, qualifiée maintenant en réponse à ce flot de réponses, était simplement la suivante: si je lance Ubuntu sur une clé USB et que je ne fais absolument rien pour accéder au disque dur ou au SSD de l'ordinateur, une trace de mon activité peut-elle être divulguée sur leur?
Seeker
2
Tant que l'ordinateur n'a pas de partition de swap, une partition casper-rw, vous faites attention où vous enregistrez des choses, vous n'utilisez pas gparted, boot-repair, cliquez sur l'icône d'installation, tapez "sudo" ou "dd" ou essayez de sauvegarder quoi que ce soit, vous devriez être OK. S'il s'agit d'un Live USB (sans persistance) et que le lecteur interne est Windows, ne tapez simplement pas "sudo" et n'utilisez aucun utilitaire.
CSCameron
1
@CSCameron Votre commentaire ci-dessus est la vraie réponse: tant qu'il n'y a pas de swap ou de casper-rw et que rien d'autre n'est monté, explicitement ou par inadvertance, une session en direct ne touchera pas les disques internes. Sinon, il se peut que ce soit le mot clé ici. Même ainsi, le swap n'est pas conservé et aucune trace d'utilisation pendant une session en direct n'est "visible" pour quiconque, sauf pour les médecins légistes.
La réponse à la question n ° 1 de l'OP est non, ce n'est pas vrai, Ubuntu permet d'écrire des choses sur le disque dur d'un ordinateur. Le no 2 n'est pas non plus vrai, l'ordinateur peut se retrouver avec de nombreuses traces de la session USB, y compris un nouveau système d'exploitation. L'OP a qualifié sa question et la nouvelle réponse est que le lecteur interne est sûr tant que l'utilisateur est prudent et sait ce qu'il fait, j'ai effacé le disque dur sur un ordinateur de travail il y a tout juste un mois, mais je ne le suis pas attention et j'aime expérimenter.
CSCameron
Merci CelticWarrior J'ai ajouté ce commentaire à ma réponse.
CSCameron