Digamos que temos uma máquina de inicialização dupla. Ou temos um Linux LiveCD na unidade de CD.
Estamos executando o Windows e selecione reinicializar ou hibernar.
A máquina sai do sistema operacional e volta ao processo de inicialização.
Aqui podemos selecionar algum outro sistema operacional. Ou podemos inicializar o Linux LiveCD na unidade de CD.
Em seguida, desligamos o outro sistema operacional.
Quando reiniciamos, o Windows novamente assume o controle. Esta instância do Windows "sabe" que havia algum outro sistema operacional em execução entre as reinicializações?
Estou pensando em alguma configuração CMOS (ou BIOS ou UEFI ou similar) que registra o dispositivo de inicialização anterior.
Comparar isso com o dispositivo de inicialização atual informará ao sistema operacional que havia algum outro sistema operacional em execução no meio.
Isso é possível ?
Embora eu esteja perguntando isso por curiosidade, existem razões práticas sobre isso:
Exemplo 1: Quando temos um laptop corporativo e a política corporativa é não usar o Linux LiveCD (por exemplo, para extrair dados confidenciais do disco rígido), pode ser útil verificar "Dispositivo de inicialização anterior" e registrá-lo no funcionário.
Exemplo 2: O Windows pode, hipoteticamente, querer entrar no "Modo Paranóia" sobre a integridade do arquivo do sistema e iniciar uma verificação completa do sistema se e quando detectar que o "Dispositivo de inicialização anterior" não era o Windows.
Não é provável. Eu nunca vi um BIOS registrar um dispositivo de inicialização. Se você inicializar a partir de um live CD ou USB, o sistema operacional instalado no HDD/SSD não será executado e criará seus próprios logs. Você seria capaz de copiar os arquivos ou até mesmo criar uma imagem do disco sem que ninguém soubesse.
Dito isto, se a empresa não quiser que você faça isso, provavelmente limita a configuração de inicialização ao HDD/SSD e a senha protege o menu de inicialização do computador. No entanto, se você tiver acesso físico ao computador, basta remover a unidade e lê-la de outra máquina. A única proteção contra isso seria se a unidade fosse criptografada.
Para responder à pergunta diretamente, tanto quanto sei, isso não é possível, pelo menos não de uma maneira confiável o suficiente para ser útil para o que você descreve. O firmware do sistema não mantém logs persistentes do que foi inicializado quando. As únicas coisas que se aproximam são a "contagem de inicialização" que os discos rastreiam em seus dados SMART e a "contagem de inicialização" que os chips TPM também acompanham, mas um contador simples não pode ser usado para provar que algo indesejado foi realmente feito .
(Alguns sistemas de arquivos Linux gravam o nome de host "último montado em" dentro do próprio sistema de arquivos, mas isso é completamente voluntário da parte deles; isso é feito para evitar que discos compartilhados sejam montados duas vezes ao mesmo tempo.)
Mas em ambos os exemplos, você considerou apenas inicializar um liveCD no mesmo computador - mas esqueceu a possibilidade de remover o disco da máquina e conectá-lo a outro sistema como um disco de dados, o que é muito mais provável de acontecer . Mesmo que a inicialização anterior não Windows possa ser detectada facilmente, ela não pode de forma alguma detectar algo que nem tenha acontecido no mesmo computador.
Portanto, em ambos os exemplos, uma abordagem diferente é geralmente adotada - em vez de usar a política corporativa (para assustar as pessoas que se preocupam menos com a política corporativa) para reagir a eventos quando é tarde demais, o disco do sistema geralmente é criptografado para que seu os dados não podiam ser acessados em primeiro lugar, por exemplo, usando o BitLocker ou várias ferramentas comerciais. (Ou seja, a diferença entre inviolável vs inviolável.)
Em vez de o sistema operacional detectar o que aconteceu anteriormente, o BitLocker faz o oposto; recursos como "inicialização medida" (via TPM + Inicialização segura) fornecem informações sobre o que está acontecendo durante a inicialização atual, por exemplo, o Windows poderá desbloquear automaticamente um disco protegido por BitLocker se a inicialização atual passar na verificação, mas qualquer outra coisa não. ser capaz de obter a chave de descriptografia do hardware TPM.