Hej,

Jag är otroligt tacksam om någon kan hjälpa mig i mitt lilla detektivarbete.
Det är så att jag behöver ta reda på om en person har kopierat eller öppnat filer på en filserver.
Jag har tillgång till både filservern och den misstänkta datorn som har använts.
Kan man via loggar eller något annat se om någon via sin dator har kopierat filer, från filservern till ett usb-minne eller till datorn.
Lagras filerna temporärt på datorn innan dom överförs till stickan osv?

All hjälp är verkligen guld värd!

Windows server 2003 och Xp är operativsystemen.

Nej, inte utan att auditing av sådant varit påslaget redan innan.

kan man inte jämföra "skapatdatum" för filerna i fråga? Den kopierade filen får nytt ändratdatum, har jag för mig... fast du kanske inte hade tillgång till någon filkopia...

Ja och nej, det beror på hur man kopierar.

Precis, jag har inte tillgång till någon filkopia. Har bara personens dator och servern där filerna finns.
Om personen först har sparat filerna lokalt,sedan raderat dom, kan man då på något sätt återkskapa raderade filer eller se vilka filer som har raderats?

Kommer ihåg att det fanns ett program som kunde "ta fram" raderade filer. Kommer dock inte på vad det hette, det finns säkert en bunte på nätet. ....

Snabb sökning på Google gav; File Recovery
http://www.pctools.com/file-recover/

Om filerna öppnats i någon applikation kan denna applikation ha sparat filnamnet. "Recent files" hittar man i många applikationers menyer. Under startknappen i XP finns också "Recent files" eller nåt liknande.

Windows register är ju en hel ocean av information, på gott och ont, så delvis beroende på hur man isf har kommit åt servern/filerna så bör det finnas information där (enligt samma princip som recent files så lagras ju information om senast anslutna nätverksenheter osv osv)

Sök i registret, logfiler och "temporary internet files" på ett eller flera av filnamnen OCH mapp/servernamnen, hittar den inget av intresse skulle jag säga att personen är oskyldig, eller har vetat vad han gjort och sett till att hålla rent efter sig.

edit: och som redan sagts, testa med ett program som letar efter borttagna filer för att se om dessa har lagrats på datorn, en direktkopiering till ett USB minne lämnar inga såna spår iofs, har man däremot gjort en zipfil av det så kan det programmet ha lämnat spår.

men alltså, har du Windows 2003 Server och ansluter (igen, såklart beroende på hur du ansluter) med XP som "klient" är jag ganska övertygad om att detta loggas av servern, så är det filer som användaren aldrig bör ha haft tillgång till, så borde detta gå att spåra..

Med default auditing-inställningar på servern så loggas som sagt inget sådant.

Om filerna kopierats direkt från servern till ett USB-minne anslutet på klienten så är det nog väldigt svårt att hitta någon information i registret, bland temp-filer osv.

Om filerna däremot öppnats så är det helt klart värt ett försök, kika isåfall under användarens HKCU-nyckel och i hans %temp%-katalog i användarprofilen. Kolla recycle bin osv också utöver tips ovan.

Ytterligare ett tips är att sökfunktionen i XP är riktigt dålig, det är många ställen den inte söker på. Jag brukar köra dir /s filnamn.fil från roten på disken istället.

Security-loggen visar inloggningar mot servern. Fast
eftersom det normalt loggas en hel hög här varje
sekund så kan jag lova dig att loggen är bortsopad
om du inte exporterat den.

Jag kan rekommendera DriveLock för att övervaka
och/eller stoppa t.ex. USB-minnen.

Tänk på att om du använder datorn minskar du chansen att hitta något som blivit raderat från hårddisken. Bäst att börja med att plocka ut hårddisken och koppla den till en annan dator och på den köra något lämpligt recoveryprogram.

Man skulle även kunna tänka sig att man börjar med att köra Ghost eller liknande och göra raw-kopia (byte för byte utan att bry sig om filsystem) av hela hårddisken, så har man en backup på exakt hur det såg ut.

Sedan kan man använda kopian till undersökningen, och inte röra originalet. Bättre att originalet är orört om det är så viktigt att man är beredd att betala många tusen för att ett recoveryföretag ska leta efter något på den. De kan eventuellt även hitta information som har blivit överskriven.

Det är nog svårt. Det man bör göra i alla såna här lägen, frys "läget" gör en image på hårddisken , finns ett kommando som hetter dd eller mjukvara som hetter ghostzilla.

Sedan kan man analysera imagen, om något har blivit raderat.

Tackar så mycket för er hjälp! :)
Datorn har inte använts sedan filerna kan ha blivit kopierade. Så förhoppningsvis hittar jag kanske nån information.
Ska kolla igenom datorn efter helgen!