人說,這樣不如用軟體來清除啦,如usbclear,usbcleaner,usbviewer等。我試過,可以告訴你,上面這3個軟體不管用!用專門檢測工具一樣可以查出來。
就拿像上網痕跡來說吧,就算你怎樣清除、重灌、格式化硬碟,專門的檢測工具一樣也可查到,而且上網記錄是從你第一次使用ie開始,我給自己的電腦深度檢測了一下,結果是2023年的上網記錄也出來了,無奈啊。沒辦法啦,近來檢查多,剛好手頭上有這類檢測工具,所以也來研究一下。
通過檢測工具檢測發現usb使用記錄是從重灌系統那天開始記錄的。那如果重灌可以消除,即說明,usb使用記錄的確是儲存在系統盤中,可以清除。但上網記錄就沒辦法清了,我想非低格不可,但沒試過。查閱過網上有許多資料,發現下面這個內容有用,所以就拿來分享了,呵呵。
作為作業系統,它不會儲存無意義的u盤使用痕跡(如果故意設定後門當然不同),這些相關痕跡實際應該是作業系統快速識別移動儲存裝置必須的資訊。 windows一般使用登錄檔來儲存這樣的資訊,但是對於系統的重要更改,一般也會保留*.log的日誌以方便排錯。
對於計算機系統來說,u盤這樣乙個東西,實際是多個裝置協同工作的系統。這樣乙個系統包括:通用序列匯流排-usb裝置(含usb介面大容量儲存裝置 -usb mass storage device)、磁碟驅動器、儲存卷。
從使用者角度看,應該順序是反過來的。首先關心的是實際儲存資料的卷。那麼,作業系統必須為使用者關心的卷保留指向具體裝置的資訊。對於每款u盤,廠方會寫入製造商和產品資訊,文字形式表示為:ven_***x&prod_***x;數字形式表示為:vid_nnnn&pid_nnnn;製造商和產品的id均為4位16進製制數字,加上四位版本號,對於一款產品可以用12位16進製制硬體編號來表示,也就是24bit長度id,跟網絡卡的mac有點類似:) (為什麼硬體裝置中24位長經常出現呢?),不過與mac位址不同,u盤是以32bit廠的2進製數作為唯一標識的。
對應的註冊鍵值hklm/currentcontrolset/system/currentcontrolset/control/class下的: 通用序列匯流排 磁碟驅動器 儲存卷 每次插入,對hklm/currentcontrolset/system/currentcontrolset/services/usbstor /enum 下的count 和 nextinstance 進行改寫,並依據nextinstance 建立乙個臨時索引,拔除時則反向操作。
但是容易讓人迷惑的是,windows 如何區分插入的u盤時曾經掛在過,驅動已經定位的裝置呢? 我們注意到四個儲存卷相關的專案:
磁碟驅動器註冊位置,deviceinstance值描述卷在 hklm/system/currentcontrolset/enum 下的路徑,如果路徑以usbstor開頭,則表示是移動儲存介質。
光碟機註冊位置,deviceinstance值描述卷在 hklm/system/currentcontrolset/enum 下的路徑,如果路徑以usbstor開頭,則表示是移動儲存介質。
可移動卷註冊位置,所有專案也會出現在 中;
及其所有曾經掛載的卷的註冊位置,deviceinstance值描述卷在 hklm/system/currentcontrolset/enum/storage下的路徑,如果路徑以removablemedia開頭,則表示是移動儲存介質。
以及儲存裝置相關專案: 用於註冊usb儲存裝置,其子項代表某個usb儲存裝置,deviceinstance值描述裝置在 hklm/system/currentcontrolset/enum/usb 中的路徑插入乙個從來沒有使用過的u盤,系統在hklm/currentcontrolset/system/currentcontrolset /services/usbstor/enum 下建立代表某款產品12位16進製制串為名稱的鍵;
在 hklm/system/currentcontrolset/enum/usb 下建立 vid 打頭包含vid_nnnn&pid_nnnn形式製造商產品資訊的鍵,在每個鍵下再以32bit裝置id的16進製制串為名儲存每個u盤的資訊,其下driver值為裝置在下的路徑;
hklm/system/currentcontrolset/enum/usbstor 下則以disk&ven開頭加上形如ven_***x&prod_***x 製造商產品資訊來建立鍵值,同樣的,其下也有32bit16進製制串為名的u盤資訊,其下driver值則是裝置在下的路徑;
hklm/system/currentcontrolset/enum/storage/removablemedia 專案下也會為相應的卷建立專案和鍵值,同樣的,driver值也是u盤所對映的卷在下的路徑;同時,也會在setupapi.log 生成記錄。
二、操作方法(摘自
)開啟控制面板->管理工具->計算機管理
刪除:1. 往系統裡面新增環境變數devmgr_shownonpresent_devices,值為1
2. 執行裝置管理器,開啟檢視隱藏裝置。展開磁碟驅動器、儲存卷兩處,把和u盤有關的kill掉。
3. 開啟計算機管理,把可移動儲存相關的刪除。
4. 把1中加入的系統環境變數刪除。
到此為止,現在有可能還不能全部刪除登錄檔中的usb使用記錄,在hkey_local_machine/system/controlset002/enum/usbstor中仍然可能會有使用記錄,然後開啟強大的regedt3
2工具,找到該項,修改許可權,然後刪除子項。另外hkey_local_machine/system/controlset002/enum/usb中的一些和usb storage mass裝置相關的也要刪除。
清除登錄檔的u盤使用記錄
1、按開始--〉執行,在輸入框裡輸入命令:regedit
2、刪除登錄檔中以下目錄的usbstor子項。
(1)hkey_local_machine/system/controlset001/enum/usbstor
(2)hkey_local_machine/system/controlset002/enum/usbstor
(3)hkey_local_machine/system/controlset003/enum/usbstor
(4)hkey_local_machine/system/currentcontrolset/enum/usbstor
刪除上述usbstor子項後,一般保密檢查軟體就不能檢查了。
如果需要徹底清除usb使用記錄,完成上述操作後,可以接著如下的操作過程:
1、刪除如下usb子項下除root_hub、root_hub20外的所有記錄。
(1)hkey_local_machine/system/controlset001/enum/usb
(2)hkey_local_machine/system/controlset002/enum/usb
(3)hkey_local_machine/system/controlset003/enum/usb
(4)hkey_local_machine/system/currentcontrolset/enum/usb
許可權操作與上述操作一致。
2、刪除deviceclasses下的a5d...、53f...等含usb字眼的部分子項。
(1)hkey_local_machine/system/controlset001/control/deviceclasses/
(2)hkey_local_machine/system/controlset002/control/deviceclasses/
(3)hkey_local_machine/system/controlset003/control/deviceclasses/
(4)hkey_local_machine/system/controlset001/control/deviceclasses//##?#usbstor#disk&ven_alcor&prod_flash_disk&rev_8.07#2624bfbb&0#
......
(5)hkey_local_machine/system/currentcontrolset/control/deviceclasses/
其他操作與上乙個步驟相同。
第一步:通過硬體檢測軟體(everest ultimate)得到你的移動儲存器的硬體編號,例如我的魅族e5為:ven_sigmatel&prod_mscn&rev_0100/0002f68c022b070f&0。0002f68c022b070f&0為硬體編號,具有唯一性。
第二步:執行regedt32,查詢「0002f68c022b070f&0」 在
1:hkey_local_machine/system/controlset001/control/deviceclasses/
2:hkey_local_machine/system/controlset001/enum/usbstor
3:hkey_local_machine/system/controlset002/enum/usbstor
4:hkey_local_machine/system/currentcontrolset/enum/usbstor
以上四處找到相關硬體資訊:
型別sigmatel mscn usb device(魅族e5)
編號0002f68c022b070f&0(魅族e5)
將其對應記錄刪除,其中2、3、4處須提公升修改許可權為「完全控制」。
實際效果:
1,用2種「u盤使用檢測軟體」監測不到使用記錄。但網上檢測軟體千差萬別,種類繁多,未一一測試。
2,刪除四處鍵值後,再次插入e5,工作列再次出現找到新硬體的提示並安裝新硬體。
部分移動儲存會安裝自帶的驅動和軟體來實現加密、備份等功能,也會留下痕跡,這樣新增的檔案可以監控寫入。手上沒有這樣的東東,無法討論。
如何徹底刪除微信聊天記錄?官方再次放出「好訊息」
如何徹底刪除微信聊天記錄?很多時候,我們為了保護自己的記錄不被別人看到,聊完就刪了,以為刪了就沒有了,別人就看不到了,其實並不是這樣的,刪了這個記錄還是在手機裡面的,只是你看不到了而已,如果拿去恢復還是能被恢復出來,所以單純的刪除並不保險,要想做到徹底刪除,我們應該做些什麼呢,有什麼能夠徹底刪除記錄...
如何徹底刪除oracle
很多朋友只用了oracle的刪除,但很多情況下,他會發現重新安裝時,點了下一步安裝介面就消失了,往往無奈下只好重灌系統,其實只是你資料庫沒刪乾淨,刪乾淨就不會出現這種情況了。www.bianceng.cn 實現方法 1 開始 設定 控制面板 管理工具 服務停止所有oracle服務。2 開始 程式 o...
如何徹底刪除ORACLE
1 開始 設定 控制面板 管理工具 服務 停止所有oracle服務。2 開始 程式 oracle orahome81 oracle installation products universal installer 卸裝所有oracle產品,但universal installer本身不能被刪除 5...