مقاومة الطب الشرعي 1 أو Last-ikActivityView. بيانات نشاط المستخدم في Windows 10 وكيفية حذفها

• ShellBags - حقائب ، حقيبة MRU. يحتوي أيضًا على معلومات حول الوصول إلى المجلدات ، بما في ذلك الوقت والتاريخ ، لحفظها واستعادتها باستخدام إعدادات المستخدم (حجم نافذة المستكشف ، واختيار عرض "قائمة \ صور مصغرة" ، وما إلى ذلك).
• OpenSavePidlMRU. محفوظات فتح ، حفظ الحوارات.
• MUICache. محفوظات البرامج التي تم تشغيلها مسبقًا لقائمة زر البدء.
• إلغاء التثبيت. يتم تخزين المعلومات لإلغاء تثبيت البرامج المثبتة. شكرًا CEP - ليس على الإطلاق ، يسعدني دائمًا تقديم المساعدة. مسحها ، بالطبع ، أمر مستحيل (شكرا مرة أخرى). يحتوي على تاريخ ووقت تثبيت البرنامج.
• الأجهزة المحملة. تاريخ محركات الأقراص المحملة (بما في ذلك التشفير).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\UserSettings\<SID > 

 HKEY_USERS\<SID >\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications 

• مجلد الجلب المسبق لدليل Windows. حسنًا ، هنا بالكاد يمكنك القول بشكل أفضل من فيكي . هناك أيضًا قاعدة بيانات لمحسن آخر - SuperFetch (ملفات ، مثل AgAppLaunch.db). تنسيقها ، كما أفهمها ، ليس واضحًا بعد للناس ، لا يهمني أيضًا ، ولكن عند المشاهدة في محرر سداسي ، يتم عرض المسارات إلى التطبيقات.
• ملف
  
  

   C:\Windows\inf\setupapi.dev.log 

  
  معلومات حول اتصالات الجهاز وواجهات الشبكة والمزيد.
• مجلدات المستكشف بقائمة قفزة (تعرف أيضًا بقائمة الانتقال). يتم تخزين البيانات على مسار مثل:
  
  

   :\Users\User\AppData\Roaming\Microsoft\Windows\Recent 

• المجلد (انظر التسجيل - AppCompatCache)
  
  

   C:\Windows\appcompat\Programs 

• المجلد
  
  

   C:\Windows\Panther 

  
  يقوم بتخزين المعلومات للتراجع إذا قمت بتحديث إصدار Windows

 HKEY_USERS\<SID >\Software 

• مقال علمي: بعض ميزات فحص الطب الشرعي لسجل Windows (نوصي بشدة بما في ذلك للمستخدمين)
• مقالات الطب الشرعي
• الطب الشرعي الرقمي SANS
• المراجع:
• جهاز Windows الداخلي ، Mark Russinovich ، الإصدار السابع
• تحليل الطب الشرعي لأنظمة الملفات من قبل كاري بريان
• علوم الطب الشرعي ، كارفي هارلان
• "الطب الشرعي - الطب الشرعي للكمبيوتر" ، ن. فيدوتوف
• في هبر ، عن الطب الشرعي المحترف:
• أدوات جمع البيانات في الخبرة التقنية الحاسوبية
• مجموعة مختارة من أدوات الطب الشرعي المجانية
• للمبرمجين:
• يمكنك تجربة تحليل عدد من تنسيقات بيانات الطب الشرعي في C # هنا: EricZimmerman github
• اقرأ عن مدح ShellBag هنا.

 [All Prefetch] Section=Windows10 Default=False FileKey1=%WinDir%\Prefetch|*.pf;*.db;*.fx;*.7db;*.ini;*.ebd;*.bin|RECURSE [AppCompatFlags Layer] Section=Windows10 Default=False RegKey1=HKCU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers [Explorer RunMRU] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU [OpenSaveFilesView] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder RegKey2=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder RegKey3=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy RegKey4=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU [UserAssist] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist [DiagnosedApplications] Section=Windows10 Default=False RegKey1=HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications [BAM] Section=Windows10 Default=True RegKey1=HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\.DEFAULT RegKey2=HKLM\SYSTEM\ControlSet001\Services\bam\UserSettings\.DEFAULT [MountedDevices] Section=Windows10 Default=True RegKey1=HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [Panther] Section=Windows10 Default=True FileKey1=%WinDir%\Panther|*.*|RECURSE [Minidump] Section=Windows10 Default=True FileKey1=%WinDir%\Minidump|*.* 

 REM Last- ActivityView.   Windows @ECHO OFF REM ,     DOS-866   CHCP 866 COLOR A CLS REM ---------------------------------------------------------------------------------------- REM      FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==() GOTO errNoAdmin IF (%adminTest%)==(Access) GOTO errNoAdmin REM ---------------------------------------------------------------------------------------- ECHO  1     ENTER   ECHO. SET /p doset=" : " ECHO. REM ---------------------------------------------------------------------------------------- REM ---------------------------------------------------------------------------------------- REM   .   1 -  IF %doset% NEQ 1 EXIT REM ------------------------------------------------------------------------------------------ REM    Windows.   ,   CCleaner,       wevtutil ECHO. ECHO    Windows FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") ECHO. ECHO  ECHO. REM ------------------------------------------------------------------------------------------ PAUSE EXIT :do_clear ECHO   %1 wevtutil.exe cl %1 GOTO :eof :errNoAdmin COLOR 4 ECHO        ECHO. PAUSE 

 REM Last- ActivityView.  1 Alpha @ECHO OFF REM ,     DOS-866   CHCP 866 REM    - ...  ,     COLOR A CLS REM ---------------------------------------------------------------------------------------- REM      FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==() GOTO errNoAdmin IF (%adminTest%)==(Access) GOTO errNoAdmin REM ---------------------------------------------------------------------------------------- REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! REM    1    ,  ,  . REM                (\  ..) REM   .. 2-3 REM 1.    -   Windows .. ,  ,    ( ..  ) REM -     Prefetch  SuperFetch REM 2.                REM   -      -      REM          ...AppCompatFlags\Layers REM 3.            REM ,             "  ",     REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! REM ---------------------------------------------------------------------------------------- REM    ECHO. ECHO  ! ECHO        ,      ,    -  ECHO. ECHO. REM   ,       NirSoft ECHO 1 -      REM  ,   . REM (     NirSoft ) REM  : REM 1.       ,  ,    (-  Perfect  SuperFetch) REM 2.       (Minidump) REM 3.   ""      REM 4.     ,     "       ". REM (      ) ECHO 2 -     ,  Perfect  Minidump REM . .2 +      Windows ECHO 3 -   ,  Perfect   Windows ECHO   ENTER   ECHO. SET /p doset=" : " ECHO. REM ---------------------------------------------------------------------------------------- REM ---------------------------------------------------------------------------------------- REM   .   1   2   3 -  IF %doset% NEQ 1 ( IF %doset% NEQ 2 ( IF %doset% NEQ 3 EXIT ) ) REM ---------------------------------------------------------------------------------------- REM ------------------------------------------------------------------------------------------ REM    Windows,      3.  ,       wevtutil REM  NirSoft - LastActivityView IF %doset% EQU 3 ( ECHO. ECHO    Windows FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") ECHO. ECHO  ECHO. ) REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ShellBag.       ,   "" REM  NirSoft - LastActivityView, ExecutedProgramsList, ShellBagsView ECHO. ECHO   ShellBag -  REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU" /f REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags" /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU" /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags" /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM Explorer.      "" ECHO. ECHO   Explorer -  REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ComDlg32.   "\"  "  " REM  NirSoft - LastActivityView ECHO. ECHO   OpenSave  LastVisited -  REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy" /va /f REM ( NirSoft - OpenSaveFilesView) REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM       1 .. 2  3 IF %doset% NEQ 1 ( REM UserAssist.       "" REM  NirSoft - UserAssistView ECHO. ECHO   UserAssist -  REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" ECHO. ) REM ------------------------------------------------------------------------------------------ REM AppCompatCache ECHO. ECHO   AppCompatCache -  REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" /va /f REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM DiagnosedApplications.       Windows ECHO. ECHO   DiagnosedApplications -  REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications" /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM  SID -     FOR /F "tokens=2" %%i IN ('whoami /user /fo table /nh') DO SET usersid=%%i REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM Search.   ECHO. ECHO   Search -  REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps" /f REG ADD "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM BAM. REM  ,    . REM     bat  , ,    portable- ECHO. ECHO    Background Activity Moderator -  REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\UserSettings\%usersid%" /va /f REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\UserSettings\%usersid%" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM AppCompatFlags ECHO. ECHO   AppCompatFlags -  REM  NirSoft - ExecutedProgramsList REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /va /f REM       1 .. 2  3 IF %doset% NEQ 1 ( REM  ,    " "  "   " REM  NirSoft - AppCompatibilityView REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /va /f ) ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM  ""   ..  TrueCrypt ECHO. ECHO   MountedDevices -  ECHO. REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f REG ADD "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM     ECHO. REM  NirSoft - JumpListsView, RecentFilesView ECHO   Recent -   DEL /f /q %APPDATA%\Microsoft\Windows\Recent\*.* DEL /f /q %APPDATA%\Microsoft\Windows\Recent\CustomDestinations\*.* DEL /f /q %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\*.* ECHO  ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ ECHO. ECHO   Panther -   DEL /f /q %systemroot%\Panther\*.* ECHO  ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ ECHO. ECHO   AppCompat -   DEL /f /q %systemroot%\appcompat\Programs\*.txt DEL /f /q %systemroot%\appcompat\Programs\*.xml DEL /f /q %systemroot%\appcompat\Programs\Install\*.txt DEL /f /q %systemroot%\appcompat\Programs\Install\*.xml ECHO  ECHO. REM ---- REM ------------------------------------------------------------------------------------------ IF %doset% NEQ 1 ( ECHO. REM Prefetch.  ,   . Windows      REM  NirSoft - LastActivityView, ExecutedProgramsList ECHO   Prefetch -   DEL /f /q %systemroot%\Prefetch\*.pf DEL /f /q %systemroot%\Prefetch\*.ini DEL /f /q %systemroot%\Prefetch\*.7db DEL /f /q %systemroot%\Prefetch\*.ebd DEL /f /q %systemroot%\Prefetch\*.bin REM SuperFetch.    SuperFetch DEL /f /q %systemroot%\Prefetch\*.db REM Trace.    DEL /f /q %systemroot%\Prefetch\ReadyBoot\*.fx ECHO  ECHO. ECHO. ECHO   Minidump -   REM    REM  NirSoft - LastActivityView DEL /f /q %systemroot%\Minidump\*.* ECHO  ) ECHO. REM ------------------------------------------------------------------------------------------ PAUSE EXIT :do_clear ECHO   %1 wevtutil.exe cl %1 GOTO :eof :errNoAdmin COLOR 4 ECHO        ECHO. PAUSE