通过pe系统启动公司电脑，拷贝资料，公司it也能查出来吗？？？？？？？？？？

2019-07-03 01:57

Tension2019-07-03 09:17
我们好像都是物理封闭了。。。 iOS fly ~
xuyn20032019-07-03 09:20
就算通过bios什么的可以记录到拷贝东西的记录，怎么证明就是这个人拷贝的而不是别人呢？还得要靠监控吧？
草竹2019-07-03 09:21
不用键盘鼠标啦？物理有时候不那么彻底，肯定还有空余的，除非是ps2的，研发很多场景需要USB调试器，除非纯软件开发
草竹2019-07-03 09:22
既然调查肯定就全方位了
packingbox2019-07-03 09:32
记得Intel主板另有一个微型系统在管理硬件的，只要通电就在运作。类似服务器主板的IPMI 管理系统。把log集中管理，有人动触发过滤器直接报警了吧。Quatab PX
oannes2019-07-03 09:33
连端口都封了，竟然能允许u盘启动 iOS fly ~
ykcat2019-07-03 09:33
回复63#nike449

bios啊…………你无论用什么引导系统都先得主板加电bios自检，然后才轮到引导盘引导系统啊…………感觉你都忘了bios是啥了…………
fisher3212019-07-03 09:36
加密压缩后发邮件啊。笨
Tension2019-07-03 09:48
我们一部分台式机确实封了然后用ps2...不过大部分笔记本好像也布置了监控策略，一插就被发现。。。 iOS fly ~
xialer2019-07-03 09:55
回复109#alexandrite

哈哈哈,这么搞过...hdmi的视频采集盒....神器....
小粉红的2019-07-03 10:21
监控摄像头拍到的
bj4092019-07-03 10:23
maek下
落寞惊梦2019-07-03 10:32
上了数据加密系统的话还是很容易查出来的
metalkj2019-07-03 10:55
拍照屏幕这个简单屏幕上有监控软件投射的透明标记比如二维码必须调色才能看出来阿里内部就这么操作的
tanshisher2019-07-03 10:58
回复166#metalkj

orc一次就没了吧
metalkj2019-07-03 11:00
前提是你知道有这个追踪技术你看不到不知道会去这么做吗？而且如果是录屏的话难道一帧一帧检查？
ufo-bug2019-07-03 11:11
回复150#nanxijw

据说，tpm+bitlocker已经可以被搞定了，apfs目前还无法被搞定HiPDA·NG
xnyzlyc2019-07-04 02:22
记号学习。。。
bxf30002019-07-04 03:02
不知道你这个高精尖的技术哪里来得？

我的办法是拍屏幕，同时在手机端批量ocr，基本属于自动化偷拍。我不知道网管怎么判断得。
bxf30002019-07-04 03:08
现在手机端都是批量ocr的，又不麻烦。
拍好点一下ocr就全部转换好了，晚上回家校对一下就可以了。既节省硬盘空间，还方便检索。
至于有些流程图，完全可以照着临摹。
ocr校对和临摹的过程就是学习的过程。
保留原图的人是准备拿出去卖吗？
bxf30002019-07-04 03:20
几百页用手机慢慢拍就是了。拍好以后批量ocr，一键操作，一点儿都不麻烦。
有视频监控也不管用，可以用蓝牙遥控器拍照的，自己手机怎么掩饰就很简单了。
metalkj2019-07-04 03:37
很多时候不是文字ocr顶什么用
功夫小狗2019-07-04 05:12
这哥们应该没拔网线吧，IT的一些审计审计、访问控制的设备是有自动发现网络设备的功能的，譬如U盘、USB网卡之类的，同一个Mac地址，系统突然变了，变成PE系统登录肯定是个异常啊。HiPDA·NG
bluefall2019-07-04 05:20
回复18#nike449

入职时知道这个规定吗？
soso_xu2019-07-04 09:06
品牌机HP,dell等的驱动可以让监控程序-如SNMP，就取到bios里的log和event。
当重新进系统后，集中监控发现不正常开机很容易啊。
但拷贝的是本地文件，应该没法定位到具体文件的.
neocc32019-07-04 09:21
毛线哦？除非翻手机的图库，或者有摄像头对着电脑留下证据，否则不可能查到吧？
zz2432019-07-04 10:11
我来公布答案吧，只要是操作系统做的读取操作，都伴随写入的，这个是磁盘底层和文件系统的特性，有兴趣的可以从西数磁盘的执行逻辑开始了解，再研究下文件系统原理，有软件可以无写入读取，私下卖，一般都是安全公司或安全部门在用。

其实各位手机摄像头拍的照片，不管屏幕是否带加密信息，出的照片都带机身信息，可以精准定位到购买人，使用人，联网状态，看你有多大能量找。
zz2432019-07-04 10:41
回复150#nanxijw

其实用linux系统做改装也可以做到只读。
并不需要买专业设备。
liusir80902019-07-04 10:50
我很好奇要是你同事努力上进，加班工作、直接拷贝就好了。为什么要用PE系统拷资料，掩耳盗铃？
不是杠，就是有疑惑。
faibei2019-12-08 09:17
Mark~
yhny2019-12-08 09:47
西数磁盘的执行逻辑开始了解，再研究下文件系统原理

哥们有没有这方面的资料推荐？
simvision2019-12-08 09:54
前面那么多同学告诉过你硬盘有两个重要参数是实时更新且OS可以读取的，就是“通电次数”和“通电时间”。你正常关机的时候通电次数是N，下次开机，操作系统发现通电次数是N+2了，当然就可以上报了呀
simvision2019-12-08 09:55
另外，我们公司的电脑硬盘是加密的，任何系统读不了的。
sayhier2019-12-08 09:57
吓得我都不敢用W2G了 iOS fly ~
knightfish2019-12-08 09:57
啥单位啊怎么防着
logic902019-12-08 09:59
再牛点的公司，甚至可以监控到员工的手机。。。貌似都是硅谷那边干过的事HiPDA·NG
zz2432019-12-08 10:02
回复182#yhny

别研究了，这种一般都是linux改的，学名叫数字取证套件。

公安有，大几十万，想干这个就用取证工具读全盘，厉害的还可以全盘找指定名和关键字。
ccdc2019-12-08 10:16
估计用云桌面就没想法了
大马2019-12-08 10:32
通电记录在SMART里面，肯定也是有办法的
easyman1052019-12-08 10:42
自己中勒索病毒，然后
可行吗？
weiyangge2019-12-08 10:48
什么机器，有ilo功能么
TomYao2019-12-08 10:57
bios不加管理员密码，允许修改启动顺序，这两项算最基本的安全措施都不做，不相信是通过IT知道他拷贝文件的。
应该是被打小报告了，并且他可能不是第一次这么干了。
yhny2019-12-08 11:11
我是想看看有这方面的书籍资料，看看原理呢。比如硬盘启动原理，文件格式之类。
MR.L2019-12-09 12:36
是怎么确认就是他本人拷贝的呢？难道电脑是独立办公室或者主机是锁在柜子里的？
yzhkpli2020-02-16 11:41
很久以前当网管时候思考过如何全方位监控使用pc终端情况。
没有开机箱走pe一样可以被监控到，前面有朋友说拔了网线，其实不管你拔不拔网线都是异常。

如果插网线，每次开机，商用机的bios就发送一个开机日志给指定的日志服务器。如果这个记录对应不到登陆域控服务器登陆记录，那就是电脑坏了或者用pe自己开机。
如果不插网线，只要你网线一拔就能记录下来设备离线记录。商用机的bios应该可以实现这个。或者是通过监控服务器定时去snmp拉取终端的状况。只要你脱离网络就能检查到。