如何驗證文件已被複製？

有沒有辦法確保文件已復製到 USB 驅動器？

（例如：我有一個文件 secret.db，我想我的朋友已經將它複製到他的 USB 驅動器中。stat $filename我看不到更新的 a/c/m/time，因為cp沒有更新時間戳）。

有沒有辦法知道或者不可能？

我正在使用帶有 Bash v4 的 Ubuntu 12.04。

TL;DR：在很多情況下，您可以查看文件是否被訪問；但是，無法判斷是否製作了副本。

使用時似乎atime 會更新cp（除非noatime生效）；但是，執行任何其他讀取操作（如grep somestring $filename）也會觸及文件。

在大多數安裝中（沒有大量審核），不可能找出文件被讀取的確切原因，以及讀取文件的程序是否還在其他地方寫入了數據的副本（到 USB？到套接字？到 RAM？ ）。

此外，這只涉及線上的非特權攻擊。如果我有物理訪問權限，我可以重新啟動到 live-CD 發行版，以只讀方式掛載分區，複製任何內容（甚至製作全盤映像）並且分區上不會有任何標記（除了增量掛載櫃檯）。

引用自：https://unix.stackexchange.com/questions/38618