A partir de este gran guión ofrecido por Daniel Azuelos
cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;
¿Cómo es posible modificarlo para encontrar si se conectó una memoria USB, en una computadora al azar, en una fecha determinada?
En Linux, hay un subsistema USB que crea eventos de registro del sistema.
Para que pueda decirle lo que se enchufó en su PC. Pero, en general, no se puede saber si se trata de una memoria USB o de otra cosa conectada a una PC, a menos que se hayan cambiado algunos archivos. Si bien las memorias USB y las tarjetas SD generalmente están formateadas como VFAT por compatibilidad, no hay razón para que no se puedan formatear con un sistema de archivos más poderoso como EXT3 o NTFS. En ese caso, si una memoria USB se montó de lectura-escritura y no "noatime", la marca de tiempo de acceso al archivo indicaría si se había leído un archivo, o si un escritorio gráfico había accedido a un directorio para crear iconos de carpeta.
Dado que está integrado en Linux y forma parte de la especificación USB, debe ser posible obtener el mismo nivel de detalle en otros sistemas operativos utilizando una aplicación adecuada.
Lea otras preguntas en las etiquetas macos security usb external-disk