¿Qué rastros quedan después del arranque por usb?

12
  1. ¿Es cierto que una unidad USB de arranque de Ubuntu no permite que se escriba nada en el disco duro de la computadora?
  2. Si es así, ¿una computadora con una unidad SSD, como la mía, también quedaría sin rastro de una sesión USB de arranque?
boot  usb  hard-drive  security  drive 
Buscador
fuente

Respuestas:

20

Muchos discos almacenan un contador de ciclos de encendido, legibles a través de SMART. (Por ejemplo, en Windows uno podría usar CrystalDiskInfo; en todas estas capturas de pantalla puede leer el "Recuento de encendido" en el lado derecho de la ventana https://www.google.com/search?q=crystaldiskinfo&source=lnms&tbm = isch )

Este contador será sensible al arranque desde un disco diferente, pero no será específico (el contador también aumentaría para ingresar a la pantalla de configuración del BIOS, o en un caso en el que la alimentación se apagó nuevamente antes de cargar el sistema operativo).

Debido a que este contador está controlado por la electrónica de la unidad, no hay nada que el software de Ubuntu en la memoria USB pueda hacer para evitar que se actualice. En algunos casos, podría ser posible borrar o volver a escribir el contador, pero esto sería específico para el modelo de disco / versión de firmware y la eliminación del contador aún sería detectable.

Algunos BIOS del sistema también mantienen un registro de los eventos del sistema. No he visto uno que registre el arranque desde medios extraíbles, pero ciertamente es factible.

Por supuesto, también puede dejar rastros físicos en el puerto USB, como perturbar una capa de oxidación.

Ben Voigt
fuente
Este contador está controlado por la electrónica de la unidad, precisamente por el firmware del disco.
heemayl
Por supuesto que se ha completado un ciclo, un reinicio no cuenta?
mckenzm
2
@mckenzm: Dependiendo del diseño del sistema de alimentación, un reinicio podría implicar o no una breve desconexión de la alimentación de los periféricos, como los discos, y, según el diseño del controlador de disco, podría haber suficiente capacidad para llevarlo a cabo mediante una breve desconexión de la alimentación.
Ben Voigt
18

¿Es cierto que una unidad USB de arranque de Ubuntu no permite que se escriba nada en el disco duro de la computadora?

No. Usted puede montar los discos y escribir sobre ellos. Después de todo, la memoria USB es la principal forma en que los usuarios de Ubuntu instalan Ubuntu por primera vez.

Pero por defecto, Ubuntu no montará nada que no le digas.

Entonces, si no montaste la partición "C:" en realidad, no dejaría rastro de haber sido arrancado en Ubuntu.

Oli
fuente
66
¿Esto sigue siendo cierto si hay una partición de intercambio utilizable en la unidad SATA?
kasperd
1
@kasperd: systemd-gpt-auto-generatorverificará un GPT y detectará automáticamente las particiones de intercambio, pero solo verificará el "disco raíz". Sería bastante malo si un sistema utilizara accidentalmente espacio de intercambio desde un volumen extraíble. Pero puede confiar en que el volumen raíz no sea extraíble.
MSalters
66
Probé en una máquina virtual con Ubuntu 16.04 (64 bits, modo UEFI) instalado que tiene una partición de intercambio de 4GB por separado. Arrancar esa VM desde una imagen iso 16.04 (instalación / DVD en vivo) dará como resultado un sistema en vivo con la partición de intercambio del disco montada y activada automáticamente. No sé cómo el sistema en vivo decide qué particiones de intercambio montar, pero definitivamente lo hace a veces.
Byte Commander
1
Si usa la partición de intercambio, es una lástima que se hayan almacenado datos de hibernación.
mckenzm
1
La información (advertencia) sobre el intercambio debe editarse en la respuesta.
Jonas Schäfer
3

Respuesta a 1 .:

El arranque USB de Ubuntu normalmente ni siquiera monta el HDD / SSD de su sistema, y ​​si está montado, es de solo lectura a menos que le diga a Ubuntu que lo trate como lectura y escritura.

Respuesta a 2 .:

No habrá rastro de una sesión USB a menos que escriba en su HDD / SSD (consulte la respuesta 1).

Videonauth
fuente
Según estas buenas respuestas, entiendo que las unidades SSD son tan inmunes a los rastros no deseados como las unidades HDD cuando se inicia por USB. Bueno saber.
Buscador
Bueno, si escribes en tu SSD, entonces también puede haber rastros, pensé que no era necesario decirlo, pero actualizaré mi respuesta en consecuencia.
Videonauth
44
Yo diría que no hay diferencia en la inmunidad a los rastros no deseados entre SSD y HDD.
Soren A
2

Tenga mucho cuidado con algunas respuestas en esta página. Es muy fácil escribir y / o destruir los datos en su (s) disco (s) interno (s) cuando se está ejecutando una unidad de memoria en vivo o persistente.

Estoy usando una instalación pendrive para escribir esto, cuando miro en Unity veo que todas mis particiones internas están montadas.

Si abro gparted y quiero modificar, formatear o eliminar una partición, generalmente primero debe desmontarse.

Mientras está en gparted, nada necesita ser desmontado para crear una nueva tabla de particiones y borrar la unidad interna.

También puede ser muy peligroso usar dd desde una unidad flash, un error muy pequeño y todo en cualquier unidad se puede borrar.

La respuesta a su segunda pregunta es verdadera, puede que no quede rastro de su sesión USB de arranque ni nada más.

No se requiere contraseña para el permiso de root en la mayoría de las unidades USB Live y Persistent

Las instalaciones en vivo y persistentes son lo suficientemente seguras, pero conozca los riesgos.

CSCameron
fuente
1

Una sesión USB de Ubuntu en vivo no deja rastro alguno en el disco duro de la computadora en la que se inicia a menos que Ubuntu esté instalado en el disco duro desde la sesión USB en vivo, e instale Ubuntu desde un USB en vivo de Ubuntu o realice cambios en el disco duro de la computadora No es necesario, solo opcional.

karel
fuente
66
Puede montar y escribir en discos locales, sin instalar Ubuntu, por lo que su respuesta es incorrecta.
Soren A
Cuando inicio una unidad flash Live o persistente, la mayoría de las particiones de la computadora ya están montadas. En gparted es necesario desmontar la mayoría de las particiones antes de eliminar, formatear o reducir. No es necesario desmontar nada para crear una nueva tabla de particiones y borrar la unidad interna.
CSCameron
1
De hecho, una de las razones populares para montar una distribución en vivo es volver a crear una imagen del disco interno desde un clon o un maestro, y si es un disco de Windows, eliminar o cambiar el nombre de ciertos archivos. Sin embargo, es posible no dejar rastro. En caso de duda, abra la caja y desconecte el disco.
mckenzm
0

Las diferencias en las respuestas en esta página me parecieron desconcertantes y decidí hacer una comparación rápida entre los tipos de instalación USB de arranque con Ubuntu 16.04.1 64bit Desktop:

  • Instalación completa con Ubiquity.

  • Instale syslinux en vivo usando Startup Disk Creator.

  • Instalación persistente de grub2 usando mkusb / dus

Las instalaciones en vivo y persistentes tenían las mismas características, excepto las indicadas.

Instalación completa, (FS) vs Instalación en vivo / persistente, (L / P)

USB OS monta automáticamente todas las particiones * - Completo - sí, L / P - sí

Partición interna grabable sin SU - Completo - sí, L / P - no

Partición interna grabable con SU - Completo - sí, L / P - sí

Super Usuario requiere contraseña - Completo - sí, L / P - no

Gparted requiere contraseña - Completo - sí, L / P - no

Instalar en la unidad interna requiere contraseña - Completo - N / A, L / P - no

Utiliza el espacio de intercambio de la unidad interna (si está disponible) - Completo - sí, L / P - sí

Utiliza la partición casper-rw de la unidad interna, (si está disponible) - Completo - N / A, En vivo - no, Persistente - sí.

Siempre que la computadora no tenga una partición de intercambio, una partición casper-rw, tenga cuidado al guardar cosas, no use gparted, boot-repair, haga clic en el icono de instalación, escriba "sudo" o "dd" o intenta respaldar cualquier cosa, deberías estar bien. Si es como un USB en vivo (sin persistencia) y la unidad interna es Windows, simplemente no escriba "sudo" ni use ninguna utilidad.

Todos los resultados en esta revisión se pueden duplicar fácilmente.

  • Las particiones ISO9660 están montadas pero son imágenes de solo lectura., Al igual que la carpeta cdrom.
CSCameron
fuente
¿Serías tan amable de traducir eso al lenguaje simple? La pregunta que quería responder, calificada ahora en respuesta a esta avalancha de respuestas, era simplemente esta: si ejecuto Ubuntu en un USB y no hago nada para acceder al HDD o SSD de la computadora, ¿se puede filtrar cualquier rastro de mi actividad? ¿ellos?
Buscador
2
Siempre que la computadora no tenga una partición de intercambio, una partición casper-rw, tenga cuidado al guardar cosas, no use gparted, boot-repair, haga clic en el icono de instalación, escriba "sudo" o "dd" o intenta respaldar cualquier cosa, deberías estar bien. Si es como un USB en vivo (sin persistencia) y la unidad interna es Windows, simplemente no escriba "sudo" ni utilice ninguna utilidad.
CSCameron
1
@CSCameron Su comentario anterior es la respuesta real: mientras no haya swap o casper-rw y no se monte nada más, explícita o inadvertidamente, una sesión en vivo no tocará las unidades internas. De lo contrario, puede, puede ser la palabra clave aquí. Aun así, el intercambio no se conserva y cualquier rastro de uso durante una sesión en vivo no es "visible" para nadie más que especialistas forenses.
La respuesta a la pregunta del OP No 1 es, no, no es cierto, Ubuntu permite que las cosas se escriban en el disco duro de una computadora. No 2 tampoco es cierto, la computadora puede quedarse con muchos rastros de la sesión USB, incluido un nuevo sistema operativo. El OP calificó su pregunta y la nueva respuesta es que el disco interno es seguro siempre que el usuario sea cuidadoso y sepa lo que está haciendo, borré el disco duro de una computadora de trabajo hace solo un mes, pero no estoy seguro. cuidado y me gusta experimentar
CSCameron
Gracias CelticWarrior. Agregué ese comentario a mi respuesta.
CSCameron
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.