Bon temps de lecture, chers lecteurs de Habr.
La motivation de la recherche publiée dans cet article était le mot de plus en plus populaire
«criminalistique» et un désir de comprendre la question - quelles données sur la vie numérique d'un utilisateur ordinaire collectent le système d'exploitation Windows 10, où elles sont stockées et comment faire le bouton «Supprimer tout» (Je le prendrais en plusieurs parties, mais je dois immédiatement (c) Ostap Bender).
Et l'émergence de cette motivation a été facilitée par le fait que, comme il s'est avéré, l'intérêt pour la question «comment supprimer une histoire», émise par l'épopée
LastActivityView , excite toujours les esprits
cependant, souvent sur les forums, la question reste sans réponse. Le fait que vanilla CCleaner n'aide pas avec LastActivityView ajoute du carburant au feu.
Ceux qui sont principalement intéressés par l'aspect pratique du problème, à propos du bouton "Supprimer tout", peuvent immédiatement aller à la fin de l'article - là, je propose des solutions.
Et dans l'article - je veux partager les résultats de ces études avec ceux qui sont intéressés. Nous parlons des données qui sont stockées localement par Windows 10 et qui peuvent être facilement et rapidement accessibles en utilisant des «outils médico-légaux gratuits et publics», y compris les
utilitaires NirSoft . Bien qu'il ne s'agisse pas d'eux (pourquoi - voir ci-dessous).
Je veux faire une réservation tout de suite - je ne suis pas un expert dans le domaine de la sécurité informatique ou de l'analyse médico-légale, je n'ai pas d'expérience ni de motifs criminels, je le jure par ma mère, je ne verrai pas un siècle de volonté.Système d'exploitation cible
Cet article traite de Windows 10. Bien entendu, les autres éditions de Windows sont également coupables de collecte et de stockage de données, mais elles ont des clés de registre, des dossiers, des services, etc. sont différents.
Table des matières
Et ici médico-légalePourquoi il ne s'agit pas de NirSoftQuelles données sont stockées par WindowsPourquoi Windows collecte-t-il des données et qu'est-ce qui est difficile à supprimerOù sont stockées ces données?Alors, comment finalement les éliminer?Les sourcesEt ici médico-légale
Dans l'article, la question concerne l'utilisation de ses méthodes et moyens d'accès aux données privées de l'utilisateur. Et, en relation avec leur distribution et leur accessibilité, il est tout à fait possible - en vain, de calculer des forensics-kultskhackers faits maison, des cas de chevaux de Troie par des maîtres et d'autres amoureux par IP ou de l'argent facile, et simplement hostiles curieux, comme pour le téléchargement, le lancement et la lecture / sauvegarde des données émis par la même LastActivityView, Nir Sofer est complètement facultatif.
Pourquoi il ne s'agit pas de NirSoft
Dans "l'introduction", je n'ai pas accidentellement donné de lien vers LastActivityView sur le Soft Portal. Il n'y a vraiment qu'une brève description des fonctionnalités de cet utilitaire, mais en russe. Et hors tension. Nir Sofer écrit une page multibuccff de ses utilitaires et sprites en anglais. Mais, d'autre part, pour presque tous les utilitaires, il y a une description d'où ils obtiennent les données. Pour
LastActivityView tout en bas, sous la rubrique «Comment supprimer les informations affichées par LastActivityView».
Je dois admettre que je suis moi-même le même œil vigilant - une fois, comme lui, seulement une semaine plus tard, j'ai remarqué que "la grange n'a pas un mur." Mais, vérité, cette semaine était un peu plus tôt que LastActivityView a commencé à effrayer les utilisateurs ou, plus probablement, quand ils sont arrivés sur le Soft Portal et ont appris à l'effrayer eux-mêmes.
Bien que les utilitaires NirSoft, avec SysInternals, IMHO soit un modèle de professionnalisme pour le programmeur et extrêmement pratique pour l'administration. Et pour les enquêtes, elles sont en effet souvent recommandées. Exemple de preuve:
Hacker n ° 229. Forenzika et lui sont loin d'être les seuls.
Bien que, je pense, une direction similaire de leur utilisation est venue à l'esprit pour ceux qui les ont traités d'une manière ou d'une autre.
Et à ceux qui ne l'ont pas fait, mais qui se sont intéressésAfin de ne pas les télécharger au détail - vous pouvez télécharger en masse avec un bonus sous la forme d'un
lanceur NirSoft Launcher (lors du téléchargement, notez que le fichier zip est protégé par mot de passe, le mot de passe est sur cette page).
Quelles données sont stockées par Windows
Tout est stocké qui est associé à l'accès aux fichiers et aux dossiers et à leur emplacement, à l'aide de programmes (y compris protables), à connecter des périphériques de stockage (y compris des conteneurs de fichiers cryptés).
Oui, ce n'est pas dans tous les cas, quelque chose n'est enregistré que lors de certains événements, mais quelque chose peut être désactivé, mais il vaut mieux partir du fait que tout est toujours là. Ce qu'ils ont connecté, quels dossiers de fichiers ils ont ouverts, quels programmes ils ont utilisés.
Et du fait qu'avec les journaux Windows, il est imprévisible ce qui y sera écrit. En raison au moins du fait que cela dépend grandement des paramètres spécifiques d'un système d'exploitation particulier et de chacun de ses sous-systèmes, ces journaux sont disponibles pour enregistrer des messages par des programmes tiers.
Et d'où vient "l'accès" et "l'emplacement"? Un exemple fortement exagéré: le numéro de carte bancaire et son code PIN resteront dans le fichier "D: \ MySuperSecretnayaPapka \ CardPin.docx", ils n'écriront nulle part sur Windows, mais le fait de l'accès et les noms "parlants" du dossier et du fichier, cela a été utilisé, par exemple, MS Office 2007 portable, ainsi que la date-heure d'au moins le dernier (parfois chaque) accès / lancement - il sera corrigé par Windows et enduit d'une fine couche dans tout le système.
Vous pouvez lire quelques autres données ci-dessous dans le texte sous la rubrique «Autres sources de fuites d'informations que je connais, mais ne relevant pas du sujet de l'article»
Par conséquent, puisqu'ils se sont connectés, lancés, ont ouvert quelque chose dont nous ne voudrions pas qu'il soit rendu public, ce serait bien d'en cacher les traces plus tard.
Un commentaire tout à fait juste de Hanabishi - «Mais le sujet de la véritable journalisation n'est pas du tout soulevé ... rien n'est lié à la télémétrie et à Win10 en particulier» - Je m'excuse, n'a pas clairement décrit que l'article concerne les données privées stockées localement sur les PC des utilisateurs . Les problèmes de surveillance, comme les problèmes d'anonymat en ligne, sont toujours un sujet différent et distinct.
Pourquoi Windows collecte-t-il des données et qu'est-ce qui est difficile à supprimer
Windows recueille la plupart des données pour la commodité de l'utilisateur - par exemple, pour accélérer le lancement des applications, pour afficher les dossiers dans l'Explorateur avec les paramètres spécifiés par l'utilisateur, afficher une liste des fichiers précédemment ouverts, etc. etc. Effacer uniquement les données, sans perdre en même temps leur commodité, ne fonctionnera pas.
En outre, une partie des données est collectée pour évaluer les performances et l'état de l'ordinateur et du système d'exploitation (y compris les plantages et les erreurs) par des informaticiens et des logiciels spécialisés pour résoudre les problèmes des utilisateurs. Sans ces données, il sera difficile de résoudre les problèmes s'ils surviennent.
Et tout cela est une autre raison de réfléchir à la question de savoir quand il est vraiment nécessaire d'effacer les données, et quand cela n'en vaut pas la peine et peut-être qu'il n'est pas nécessaire de l'effacer avec un balayage à chaque fois que l'ordinateur est allumé ou éteint.
Un commentaire absolument juste de Hanabishi est «pourquoi nettoyer les journaux de service si vous pouvez simplement désactiver ces mêmes services?» Je n'en ai pas parlé. Tu peux. Comme moyen régulier, et danser avec un tambourin. Mais cela signifie à nouveau - une fois pour toutes de perdre la commodité, qui est la nôtre à tous.
Que serai-je de Windows pour la découpe à grande échelle de données privées, y compris en utilisant la solution proposée ici?Les échecs épiques ne devraient pas se produire, surtout si vous lisez attentivement la description de chaque règle de «nettoyage» et, le cas échéant, désactivez-la. Mais il n'est pas non plus nécessaire d'attendre un nouveau chapeau avec une nouvelle cape.
- Si des travaux de «réparation et restauration» sont supposés, des informations importantes seront effacées. Mais cela concerne principalement l'effacement des journaux Windows.
- Si vous avez configuré l'affichage de certains dossiers pour vous-même, vous devrez configurer le nouveau
- Si vous définissez le mode de compatibilité pour certains programmes ou exécutez en tant qu'administrateur, vous devrez le définir à nouveau
- En raison de l'écrasement des données nécessaires pour accélérer l'accès aux données, leur affichage et le lancement des programmes, le suivant, après écrasement, l'accès \ display \ start ralentira un peu
- En raison de l'écrasement des données sur les fichiers précédemment ouverts, vous devrez les rechercher à nouveau, vous ne pourrez pas utiliser l'élément de menu "fichiers précédemment ouverts" dans les programmes
- Si vous choisissez de supprimer le cache de mise à jour Windows, la désinstallation des mises à jour échouera normalement
Où sont stockées ces données?
Après les «enquêtes» énoncées dans l'introduction et la réconciliation de ce qui venait d'être découvert avec la réalité environnante, j'ai eu l'impression que,
à part l'IBM-286, nous avions déjà réussi à inventer autre chose, les principaux «lieux réservés» n'avaient pas changé depuis XP, sauf que l'emplacement et le format de certains avaient changé. Et quelque chose a été ajouté, mais, semble-t-il, un peu. Par conséquent, je suis sûr que je n'ouvrirai pas les Amériques, en particulier aux spécialistes, mais peut-être que cette collection intéressera quelqu'un, dans le cadre d'une montée de l'intérêt pour les questions d'anonymat et de sécurité.
Je veux vous avertir tout de suite - c'est loin d'être tout, seulement le plus basique et le plus informatif (au sens de la description, tout n'est pas effacé dans la solution proposée beaucoup plus) et n'est pas déployé par le «galop en Europe». Pour ceux qui sont vraiment intéressés par ce sujet, à la fin de ce chapitre - des matériaux intéressants que je connais pour une étude indépendante + un certain nombre de "places réservées" spécifiques sont donnés dans les solutions pour leur nettoyage.
Les principales sources de fuites que je connais sur l'activité des utilisateursRegistre Windows- ShellBags - Sacs, BagMRU. Il contient également des informations sur l'accès aux dossiers, y compris la date et l'heure, pour les enregistrer et les restaurer avec les paramètres utilisateur (taille de la fenêtre de l'explorateur, choix d'afficher «liste \ vignettes», etc.).
- OpenSavePidlMRU. Historique des dialogues ouverts et enregistrés.
- MUICache. L'historique des programmes précédemment lancés pour la liste des boutons Démarrer.
- Désinstaller. Les informations sont stockées pour désinstaller les programmes installés. Merci CEP - pas du tout, toujours heureux de vous aider. Bien sûr, c'est impossible (merci encore). Il contient la date et l'heure d'installation du programme.
- MountedDevices. Historique des lecteurs montés (y compris crypto).
Service de
modérateur d'activités en arrière-plan (BAM ). Une autre nanotechnologie de Microsoft est sciée dans Windows 10 à partir, si je ne me trompe pas, de la
version 1709 pour certains de ses besoins internes.
Ce service conserve les journaux d'activité, cependant, ces journaux sont stockés jusqu'au redémarrage de l'ordinateur (comme confirmé par vérification), mais toujours pas comme il faut.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\UserSettings\<SID >
Les résultats d'une telle expérience ont été particulièrement touchés: nous lançons le bien-aimé TrueCrypt (protable) par beaucoup, montons le fichier conteneur, lançons LastActivityView à partir de celui-ci.
Nous voyons dans l'entrée de registre:
Autrement dit, après le lancement de ces utilitaires portables, il serait nécessaire de redémarrer ou d'écraser.
Essayer de désactiver le service BAM - ne le faites pas, attrapez l'écran bleu.
Historique de montage du lecteur MountPoints2 (contient également les enregistrements TrueCryptVolumeK)
HKEY_USERS\<SID >\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Le paramètre AppCompatCache de la clé de registre AppCompatCache est également extrêmement intéressant (il stocke les données sous forme binaire).
Clé de registre DiagnosedApplications. Pour une raison quelconque, puis sur les forums médico-légaux, je n'ai pas rencontré plus tard une mention (peut-être que je regardais mal) de la clé de registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications
Informations sur le service Windows pour le débogage des fuites de mémoire dans les programmes.
Système de fichiers- Dossier de prélecture du répertoire Windows. Eh bien, ici, on peut difficilement dire mieux que Vicki . Il existe également une base de données d'un autre optimiseur - SuperFetch (fichiers, tels que AgAppLaunch.db). Leur format, si je comprends bien, n'est pas encore clair pour les gens, je ne m'en soucie pas non plus, mais lors de la visualisation dans l'éditeur hexadécimal, les chemins d'accès aux applications sont affichés.
- Fichier
C:\Windows\inf\setupapi.dev.log
Informations sur les connexions d'appareils, les interfaces réseau et plus encore. - Dossiers de l'explorateur avec une liste de raccourcis (aka Liste de raccourcis). Les données sont stockées sur un chemin comme:
:\Users\User\AppData\Roaming\Microsoft\Windows\Recent
- Dossier (voir registre - AppCompatCache)
C:\Windows\appcompat\Programs
- Dossier
C:\Windows\Panther
Il stocke des informations pour la restauration si vous avez mis à jour la version de Windows
Journaux Windows: enfin, pas de commentaire ici ... même complètement justes.
Il y a plusieurs autres emplacements dans le registre et sur le disque, mais ils sont beaucoup moins informatifs et peu intéressants (voir dans les «solutions» ci-dessous). Et il y a aussi une mer d'autres endroits, comme les fichiers "* .log" de différents services et même pas toujours Microsoft. Certes, il est encourageant que CCleaner sous stéroïdes (voir ci-dessous) soit presque complètement effacé.
D'autres sources de fuites d'informations me
sont connues, mais ne relèvent pas du sujet de l'article pour une raison ou une autre. Et ici, il convient également de noter que presque tout est effacé par CCleaner ou qu'il existe d'autres utilitaires librement distribués.
Liste de ceux1. Tout ce qui concerne le réseau et Internet (ceci n'est pas inclus dans cet article sur les histoires stockées «localement»). Mais CCleaner et
Privazer le font . Il convient de noter tout de suite qu'avec CCleaner sur les stéroïdes, à partir des décisions à la fin de l'article, les capacités pour cela augmentent parfois.
2. Tout ce qui concerne l'historique de connexion des périphériques USB . Pour l'afficher et le supprimer, vous pouvez utiliser, par exemple,
Usboblivion .
3. Tout ce qui concerne le système de fichiers . Suppression "permanente" des fichiers et nettoyage de l'espace libre (identique à la "suppression irrémédiable", mais des fichiers précédemment supprimés qui restent dans le joker du système de fichiers). En général, les problèmes liés au fait que les fichiers supprimés peuvent être restaurés. Dans le même temps, il convient de mentionner les caches de vignettes des images Windows, qui ont la possibilité de stocker des vignettes d'images même déjà supprimées. CCleaner et Privazer savent également tout nettoyer.
4. Tout ce qui est lié aux points de récupération («clichés instantanés») dans lesquels les fichiers sont enregistrés, y compris le registre système avec les données déverrouillées. Vous pouvez vous connecter, afficher et restaurer des fichiers / dossiers à partir de ceux-ci (sans effectuer de restauration du système) à l'aide des utilitaires NirSoft (vous pouvez également les utiliser pour lire des informations à partir des fichiers de registre à partir de là), mais, à mon avis, c'est plus pratique -
ShadowExplorer . Vous pouvez supprimer des points de récupération à l'aide de CCleaner. Et avant de créer des points, vous pouvez exécuter un «balayage» pour supprimer les informations inutiles avant de les enregistrer.
5. Voici la branche du registre .
HKEY_USERS\<SID >\Software
C'est là que leurs données de programme sont écrites, y compris portables. Et ils restent ici. Et si vous souhaitez masquer l'utilisation d'un programme, il serait bon de vérifier ce fil et, le cas échéant, de supprimer les données.
6. Tout ce qui concerne l'installation de logiciels sans licence et qui est
mis à la lumière de Dieu par le programme de police
Defacto . Il y a aussi un "analogue gratuit" de
Lpro (bien que j'ai une hypothèse peu fondée que le moteur Defacto basé sur lui ou sur son idée ait été fait). Mais elle, contrairement à Defacto, détermine seulement que le logiciel est payé, et non "une violation du droit d'auteur et des droits voisins".
Quittez, à mon humble avis - ne l'utilisez pas. En plus du Soft Portal bien connu sur ce sujet, je peux également proposer (si ce n'est pas de la publicité, je n'ai aucun lien avec ces sites):
-
GiveAwayOfTheDay . Chaque jour, ils distribuent un programme sous licence (vous pouvez vous abonner à la newsletter).
-
Licences gratuites sur le site Web COMSS . Logiciels et abonnements gratuits (pour divers stocks) sous licence. À titre d'exemple, il y a maintenant une promotion VPN gratuite pendant un an. Et l'éditeur de registre pratique de Reg Organizer, que j'ai utilisé pour la recherche. Et même Acronis True Image et 2 To de stockage dans le cloud crypto et bien plus encore. "Combien?" - "Freebie, monsieur" (s). (vous pouvez vous abonner à la newsletter; pas de blagues barbus, dans le sens, mais ce site).
Documents sur ce sujet, à l'exception des "sources" à la fin de l'articleAlors, comment finalement les éliminer?
Je propose pour examen et critique l'option suivante: mettre à niveau CCleaner (qui, je pense, est plus pratique pour les utilisateurs et plus fidèle, car il exclut l'invention d'un autre vélo) et
utilisez le fichier bat pour écraser les journaux Windows.
De plus, vous trouverez ci-dessous votre propre solution, sous la forme d'un fichier bat, mais il n'est toujours
pas conseillé de l' utiliser, même à mon avis (d'autant plus, il écrase uniquement les plus basiques et principalement pour Windows 10). Sauf si je suggère de lire les commentaires sur le code.
Mettez à niveau CCleaner + ajoutez-lui vos règles + bat-fichier pour effacer les journaux Windows
Pour commencer, vous devez télécharger et exécuter
CCEnhancer , effectuer la «mise à jour» (selon les instructions sur la page). Assurez-vous simplement de sélectionner et de cliquer sur cet élément de menu (après avoir fermé CCleaner, s'il a commencé):
Sinon, le fichier winapp2.ini contiendra 100500 règles extrêmement pertinentes pour les masses, telles que les règles de nettoyage de l'émulateur Zaika Spectrum (peut-être que quelqu'un se souvient même d'un tel ordinateur), mais qui inhibent considérablement CCleaner.
Ensuite, vous devez aller dans le dossier où CCleaner est installé. Trouvez-y le fichier winapp2.ini, félicitez-le pour son soulagement et ouvrez-le (par exemple, dans nodepad ++).
Ajoutez ce qui suit à la fin du fichier: [All Prefetch] Section=Windows10 Default=False FileKey1=%WinDir%\Prefetch|*.pf;*.db;*.fx;*.7db;*.ini;*.ebd;*.bin|RECURSE [AppCompatFlags Layer] Section=Windows10 Default=False RegKey1=HKCU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers [Explorer RunMRU] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU [OpenSaveFilesView] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder RegKey2=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder RegKey3=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy RegKey4=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU [UserAssist] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist [DiagnosedApplications] Section=Windows10 Default=False RegKey1=HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications [BAM] Section=Windows10 Default=True RegKey1=HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\.DEFAULT RegKey2=HKLM\SYSTEM\ControlSet001\Services\bam\UserSettings\.DEFAULT [MountedDevices] Section=Windows10 Default=True RegKey1=HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [Panther] Section=Windows10 Default=True FileKey1=%WinDir%\Panther|*.*|RECURSE [Minidump] Section=Windows10 Default=True FileKey1=%WinDir%\Minidump|*.*
Enregistrez le fichier.
Fichier bat créé pour effacer tous les journaux Windows:1. Il est nécessaire de créer un fichier texte sur l'ordinateur, par exemple en utilisant nodepad ++,
encodé en OEM 866 (DOS) (sinon, au lieu des lettres russes, il peut y avoir krakozyabra). Copiez-y le texte et enregistrez. Renommez le fichier en remplaçant l'extension .txt par .bat
2. Vous devez l'exécuter au nom de l'administrateur (sinon, il affichera une erreur "Vous devez exécuter ce script au nom de l'administrateur").
REM Last- ActivityView. Windows @ECHO OFF REM , DOS-866 CHCP 866 COLOR A CLS REM ---------------------------------------------------------------------------------------- REM FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==() GOTO errNoAdmin IF (%adminTest%)==(Access) GOTO errNoAdmin REM ---------------------------------------------------------------------------------------- ECHO 1 ENTER ECHO. SET /p doset=" : " ECHO. REM ---------------------------------------------------------------------------------------- REM ---------------------------------------------------------------------------------------- REM . 1 - IF %doset% NEQ 1 EXIT REM ------------------------------------------------------------------------------------------ REM Windows. , CCleaner, wevtutil ECHO. ECHO Windows FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") ECHO. ECHO ECHO. REM ------------------------------------------------------------------------------------------ PAUSE EXIT :do_clear ECHO %1 wevtutil.exe cl %1 GOTO :eof :errNoAdmin COLOR 4 ECHO ECHO. PAUSE
Juste au cas où, avant le premier démarrage, vous devez créer un point de récupérationVous pouvez également lire une description détaillée et compréhensible de toutes les règles de base de CCleaner et des conséquences de leur application,
ici (en russe)
Exécutez le fichier bat. Attendez la fin du travail.
Ouvrez CCleaner, allez dans "Nettoyer".
Choisissez les règles suivantesSur l'onglet Windows
Sur l'onglet "Applications"
Si vous utilisez FireFox et Thunderbird , je suggère d'utiliser les règles suivantes:
Il est nécessaire de prendre en compte que pour FireFox, les mots de passe enregistrés pour les sites seront effacés (vous devrez les ressaisir lorsque vous entrerez sur le site). Mais vous pouvez décocher la règle "mots de passe enregistrés".
Effectuez un nettoyage.
Option 2 - Utiliser le fichier bat
Manuel d'instructionsIl s'agit d'une version alpha et, en théorie, elle peut casser quelque chose, nous l'utilisons donc à nos risques et périls.
La première fois, avant de commencer, en créant un point de restauration système.1. Il est nécessaire de créer un fichier texte sur l'ordinateur, par exemple en utilisant nodepad ++,
encodé en OEM 866 (DOS) (sinon, au lieu des lettres russes, il peut y avoir krakozyabra). Copiez-y le texte et enregistrez-le en renommant le fichier, en remplaçant l'extension .txt par .bat
2. Lisez attentivement les commentaires sur son code (car il y a aussi des aspects négatifs décrits associés à la purée)
3. Exécutez-le en tant qu'administrateur (sinon cela donnera une erreur «Vous devez exécuter ce script en tant qu'administrateur»).
4. S'il n'y a pas de clés de registre ou de dossiers, le script doit ignorer cette action.
(ce n'est pas une erreur, il n'est pas trouvé et ignoré) Texte du fichier de chauve-sourisJe suis désolé, je n'ai pas trouvé la mise en évidence des fichiers batch.
REM Last- ActivityView. 1 Alpha @ECHO OFF REM , DOS-866 CHCP 866 REM - ... , COLOR A CLS REM ---------------------------------------------------------------------------------------- REM FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==() GOTO errNoAdmin IF (%adminTest%)==(Access) GOTO errNoAdmin REM ---------------------------------------------------------------------------------------- REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! REM 1 , , . REM (\ ..) REM .. 2-3 REM 1. - Windows .. , , ( .. ) REM - Prefetch SuperFetch REM 2. REM - - REM ...AppCompatFlags\Layers REM 3. REM , " ", REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! REM ---------------------------------------------------------------------------------------- REM ECHO. ECHO ! ECHO , , - ECHO. ECHO. REM , NirSoft ECHO 1 - REM , . REM ( NirSoft ) REM : REM 1. , , (- Perfect SuperFetch) REM 2. (Minidump) REM 3. "" REM 4. , " ". REM ( ) ECHO 2 - , Perfect Minidump REM . .2 + Windows ECHO 3 - , Perfect Windows ECHO ENTER ECHO. SET /p doset=" : " ECHO. REM ---------------------------------------------------------------------------------------- REM ---------------------------------------------------------------------------------------- REM . 1 2 3 - IF %doset% NEQ 1 ( IF %doset% NEQ 2 ( IF %doset% NEQ 3 EXIT ) ) REM ---------------------------------------------------------------------------------------- REM ------------------------------------------------------------------------------------------ REM Windows, 3. , wevtutil REM NirSoft - LastActivityView IF %doset% EQU 3 ( ECHO. ECHO Windows FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") ECHO. ECHO ECHO. ) REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ShellBag. , "" REM NirSoft - LastActivityView, ExecutedProgramsList, ShellBagsView ECHO. ECHO ShellBag - REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU" /f REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags" /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU" /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags" /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM Explorer. "" ECHO. ECHO Explorer - REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ComDlg32. "\" " " REM NirSoft - LastActivityView ECHO. ECHO OpenSave LastVisited - REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy" /va /f REM ( NirSoft - OpenSaveFilesView) REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM 1 .. 2 3 IF %doset% NEQ 1 ( REM UserAssist. "" REM NirSoft - UserAssistView ECHO. ECHO UserAssist - REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" ECHO. ) REM ------------------------------------------------------------------------------------------ REM AppCompatCache ECHO. ECHO AppCompatCache - REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" /va /f REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM DiagnosedApplications. Windows ECHO. ECHO DiagnosedApplications - REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications" /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM SID - FOR /F "tokens=2" %%i IN ('whoami /user /fo table /nh') DO SET usersid=%%i REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM Search. ECHO. ECHO Search - REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps" /f REG ADD "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM BAM. REM , . REM bat , , portable- ECHO. ECHO Background Activity Moderator - REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\UserSettings\%usersid%" /va /f REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\UserSettings\%usersid%" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM AppCompatFlags ECHO. ECHO AppCompatFlags - REM NirSoft - ExecutedProgramsList REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /va /f REM 1 .. 2 3 IF %doset% NEQ 1 ( REM , " " " " REM NirSoft - AppCompatibilityView REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /va /f ) ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM "" .. TrueCrypt ECHO. ECHO MountedDevices - ECHO. REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f REG ADD "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ECHO. REM NirSoft - JumpListsView, RecentFilesView ECHO Recent - DEL /f /q %APPDATA%\Microsoft\Windows\Recent\*.* DEL /f /q %APPDATA%\Microsoft\Windows\Recent\CustomDestinations\*.* DEL /f /q %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\*.* ECHO ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ ECHO. ECHO Panther - DEL /f /q %systemroot%\Panther\*.* ECHO ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ ECHO. ECHO AppCompat - DEL /f /q %systemroot%\appcompat\Programs\*.txt DEL /f /q %systemroot%\appcompat\Programs\*.xml DEL /f /q %systemroot%\appcompat\Programs\Install\*.txt DEL /f /q %systemroot%\appcompat\Programs\Install\*.xml ECHO ECHO. REM ---- REM ------------------------------------------------------------------------------------------ IF %doset% NEQ 1 ( ECHO. REM Prefetch. , . Windows REM NirSoft - LastActivityView, ExecutedProgramsList ECHO Prefetch - DEL /f /q %systemroot%\Prefetch\*.pf DEL /f /q %systemroot%\Prefetch\*.ini DEL /f /q %systemroot%\Prefetch\*.7db DEL /f /q %systemroot%\Prefetch\*.ebd DEL /f /q %systemroot%\Prefetch\*.bin REM SuperFetch. SuperFetch DEL /f /q %systemroot%\Prefetch\*.db REM Trace. DEL /f /q %systemroot%\Prefetch\ReadyBoot\*.fx ECHO ECHO. ECHO. ECHO Minidump - REM REM NirSoft - LastActivityView DEL /f /q %systemroot%\Minidump\*.* ECHO ) ECHO. REM ------------------------------------------------------------------------------------------ PAUSE EXIT :do_clear ECHO %1 wevtutil.exe cl %1 GOTO :eof :errNoAdmin COLOR 4 ECHO ECHO. PAUSE
FinalAprès avoir utilisé la première ou la deuxième option, vous pouvez exécuter les utilitaires NirSoft afin de voir si nous avons atteint l'effet souhaité.
Profit ... Maintenant, l'essentiel est de nourrir les chiens et de ne rien toucher. Et puis elle recommencera à écrire de l'opéra ...Scénarios possibles pour l'utilisation des solutions bat et CCleaner- Utilisez séparément. De plus, il est logique d'écraser complètement les magazines dans des "cas privés"
- Créez un seul fichier bat qui écrase d'abord les journaux, et au lieu de tout le reste, appelle CCleaner, c'est-à-dire qu'après avoir supprimé les journaux, appelez: "C: \ Program Files \ CCleaner \ CCleaner64.exe" / AUTOS
- Mettre ce fichier de chauve-souris en chargement automatique (ce qui, probablement, résoudra en même temps un problème avec le lancement de CCleaner sur Windows 10)
- bat- Windows, « ». gpedit.msc — « » — « Windows» — « (/)» — « ».
Les sources
- Procmon SysinternalsSuite , c — … NirSoft. (.) .
- Windows registry and forensics: 1 2 . (.)
- () CodeBy . Forensics Windows Registry (.) .
- Article Nettoyage des journaux Windows (anglais) .
- Article Créez vos propres règles CCleaner .
Au fait, pourquoi la résistance médico-légale 1?Cela deviendra clair si jamais il arrive à 2.