Habr亲爱的读者,阅读时间不错。
本文发表研究的动机是越来越流行的
“取证”一词和理解这个问题的愿望-普通用户的数字生活中的哪些数据收集Windows 10,将其存储在Windows 10以及如何制作“全部删除”按钮(我会分几部分讲,但我需要立即(c)Ostap Bender)。
事实证明,由史诗般的
LastActivityView发出的对“如何删除故事”问题的兴趣仍然
使人兴奋,这一事实促进了这种动机的出现。
但是,通常在论坛上,问题仍然没有得到解答。 香草CCleaner不能帮助LastActivityView的事实助长了火势。
那些对问题的实际方面感兴趣的人,例如“全部删除”按钮,可以立即转到文章的结尾,在这里我提供了解决方案。
在文章中-我想与感兴趣的人分享这些研究的结果。 我们正在谈论Windows 10在本地存储的数据,可以使用包括
NirSoft实用程序在内的“免费和公共取证工具”快速轻松地访问这些数据。 尽管与他们无关(为什么-见下文)。
我想立即预订-我不是计算机安全或法医学分析领域的专家,我没有犯罪经验或动机,我向母亲发誓,我不会看到一个世纪的意志。目标操作系统
本文讨论Windows10。当然,Windows的其他版本也有收集和存储数据的责任,但是它们具有注册表项,文件夹,服务等。 是不同的。
目录内容
在这里取证为什么与NirSoft无关Windows存储什么数据Windows为什么收集数据以及删除数据带来了什么此数据存储在哪里?那么,最后如何消灭它们呢?资料来源在这里取证
在本文中,该问题涉及其访问用户私人数据的方法和手段的使用。 并且,考虑到它们的分发和可访问性,很可能(以徒劳的方式)用IP或轻松的钱来计算自制的取证-kultskhacker,由大师和其他恋人计算的特洛伊木马案件,以及对下载,启动和读取/保存数据的完全不友好的好奇由同一个LastActivityView发布,Nir Sofer完全是可选的。
为什么与NirSoft无关
在“简介”中,我没有偶然地在软门户网站上提供了指向LastActivityView的链接。 确实只有此实用程序的功能的简要说明,但是使用俄语。 和关闭。 尼尔·索弗(Nir Sofer)用英语写了一个多buccff实用程序和精灵的页面。 但是,另一方面,对于几乎每个实用程序,都有对其从何处获取数据的描述。 对于最底端的
LastActivityView ,在“如何删除LastActivityView显示的信息”标题下。
我必须承认我自己是同样的警惕之眼-一次,像他一样,仅一周后,我注意到“谷仓没有一堵墙”。 但是,事实是,本周比LastActivityView开始恐吓用户早一点,或者更可能的是,当他们到达Soft Portal并学会了如何自行恐吓它时。
尽管NirSoft实用程序和SysInternals一样,恕我直言,它是程序员的一种职业模型,非常易于管理。 对于调查,确实确实经常建议使用它们。 证明示例:
229号黑客。 Forenzika ,他远非唯一。
尽管我认为,以某种方式与他们打交道的人会想到类似的使用方向。
Windows存储什么数据
使用程序(包括protable)并连接存储设备(包括加密文件容器),存储与访问文件和文件夹及其位置相关联的所有内容。
是的,这并非在所有情况下都可以,某些事件仅在某些事件中才保存,但是可以将其关闭,但是最好从事实始终存在着着手。 他们连接了什么,打开了哪些文件夹,使用了哪些程序。
从Windows日志无法预测的事实来看。 至少由于这在很大程度上取决于特定OS及其每个子系统的特定设置,因此这些日志可用于记录第三方程序中的消息。
以及“访问”和“位置”在哪里? 一个非常夸张的例子:银行卡号及其密码将保留在文件“ D:\ MySuperSecretnayaPapka \ CardPin.docx”中,它们不会在Windows中写入任何内容,但是访问的事实以及文件夹和文件的“交谈”名称表明例如,使用了MS Office 2007 Portable,以及至少最后一次(有时是每次)访问/启动的日期时间-Windows将修复此问题,并在整个系统上覆盖一层薄薄的层。
您可以在下面的标题为“我知道但不属于本文主题的其他信息泄漏源”下的文本中阅读其他一些数据。
因此,由于他们连接,启动和打开了一些我们不希望其公开的内容,因此以后掩盖所有的痕迹将是一件好事。
Hanabishi提出了一个绝对公平的评论-“但是根本没有提出真正的日志记录……没有提到任何遥测技术,尤其是Win10。” -我很抱歉,并没有明确描述该文章是关于本地存储在用户PC上的私有数据。 监视问题(如在线匿名问题)仍然是一个不同的主题。
Windows为什么收集数据以及删除数据带来了什么
Windows收集大多数数据是为了用户的方便-例如,加快应用程序的启动速度,使用用户指定的设置在Explorer中显示文件夹,显示以前打开的文件的列表等。 等 仅删除数据而又不失去便利性将是行不通的。
此外,IT专家和专业软件会收集部分数据以评估计算机和操作系统的性能和状况(包括崩溃和错误),以解决用户问题。 没有这些数据,如果出现问题将很难解决。
所有这一切都是思考以下问题的另一个原因:何时真正需要擦除数据,何时不值得擦除数据,也许不必在每次打开或关闭计算机时都进行扫描擦除。
Hanabishi绝对公平的评论是“如果可以简单地禁用这些相同的服务,为什么要清理服务日志?” 我没有提到这一点。 可以的 作为常规手段,和手鼓跳舞。 但这又意味着-一劳永逸,这就是我们的一切。
我将来自Windows从事大规模切割私有数据的工作,包括使用此处提出的解决方案?不会发生史诗般的失败,尤其是如果您仔细阅读了每个“清除”规则的说明,并且将其关闭(如果有的话)。 但是也不需要等待带有新斗篷的新帽子。
- 如果进行任何“维修和修复”工作,那么重要的信息将被删除。 但这主要涉及擦除Windows日志。
- 如果您为自己配置了一些文件夹的显示,则必须配置新的
- 如果您为某些程序设置了兼容模式或以管理员身份运行,则必须再次进行设置。
- 由于覆盖了加快访问数据,显示它们并启动程序所必需的数据,因此,覆盖后,接下来的访问\显示\启动将使速度变慢
- 由于先前打开的文件上的数据被覆盖,因此您将不得不再次搜索它们,您将无法在程序中使用菜单项“先前打开的文件”
- 如果选择删除Windows更新缓存,则通常卸载更新将失败
此数据存储在哪里?
在介绍和对与周围现实的新发现进行核对之后进行了“调查”之后,我得到的印象是,
除了IBM-286之外,我们已经设法发明了其他东西,主要的“保留地”自XP以来就没有改变,只是其中一些的位置和格式已经改变。 并添加了一些内容,但是似乎有点。 因此,我确信我不会对美洲开放,尤其是对专家开放,但是对于匿名性和安全性问题的关注与日俱增,这一收藏也许会引起人们的兴趣。
我想立即警告您-这远不是全部,只有最基本和最有用的信息(从描述的意义上讲,并不是所提议的解决方案中的所有内容都会被大量删除),并且不会被“欧洲的疾驰”所采用。 对于那些真正对此主题感兴趣的人,在本章的最后-清洁解决方案中提供了一些我可以独立学习的有趣材料+一些特定的“保留位置”。
我知道的有关用户活动的主要泄漏源Windows注册表- ShellBags-袋,BagMRU。 在那里,信息还存储在对文件夹的访问中,包括日期时间,以便使用用户设置(资源管理器窗口大小,选择显示“列表\缩略图”等)来保存和恢复它们。
- OpenSavePidlMRU。 打开,保存对话框的历史记录。
- MUICache。 “开始”按钮列表的先前启动的程序的历史记录。
- 卸载。 存储信息以用于卸载已安装的程序。 感谢CEP-一点也不,总是很乐意提供帮助。 清除它当然是不可能的(再次感谢)。 它包含程序安装的日期和时间。
- MountedDevices。 已安装(包括加密)驱动器的历史记录。
后台活动主持人(BAM )服务。 如果我没记错的话,Microsoft的另一项纳米技术已在Windows 10中看到,它从
1709版本开始就满足了其一些内部需求。
该服务会维护活动日志,但是,这些日志会一直存储到计算机重新启动(通过验证确认)后,但仍不会丢失。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\UserSettings\<SID >
这样一个实验的结果尤其令人感动:我们启动了许多人钟爱的TrueCrypt(protable),安装了容器文件,从中启动了LastActivityView。
我们在注册表项中看到:
也就是说,从理论上讲,在启动此类可移植实用程序后,有必要重新启动或覆盖。
尝试禁用BAM服务-请勿蓝屏。
MountPoints2驱动器安装历史记录 (还包含TrueCryptVolumeK记录)
HKEY_USERS\<SID >\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
AppCompatCache注册表项的AppCompatCache参数也非常有趣(它以二进制形式存储数据)。
DiagnosedApplications注册表项。 由于某种原因,后来在法证论坛上,我后来没有提到注册表项(也许我看上去很不好):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications
Windows服务信息,用于调试程序中的内存泄漏。
文件系统- Windows目录的预取文件夹。 好吧,在这里您很难说比Vicki好 。 还有另一个优化程序的数据库-SuperFetch(文件,例如AgAppLaunch.db)。 据我所知,它们的格式还不是很清晰,我也不是很在乎,但是在十六进制编辑器中查看时,会查看到应用程序的路径。
- 档案文件
C:\Windows\inf\setupapi.dev.log
有关设备连接,网络接口等的信息。 - 带有跳转列表(又称跳转列表)的Explorer文件夹。 数据存储在以下路径中:
:\Users\User\AppData\Roaming\Microsoft\Windows\Recent
- 文件夹(请参阅注册表-AppCompatCache)
C:\Windows\appcompat\Programs
- 资料夹
C:\Windows\Panther
如果您更新Windows版本,它将存储回滚信息
Windows日志:嗯,这里没有评论……甚至是完全公正的评论。
注册表和磁盘上还有其他几个地方,但是它们的信息量少得多,也不太有趣(请参阅下面的“解决方案”)。 而且还有很多其他地方,例如具有不同服务的“ * .log”文件,甚至不总是Microsoft。 的确,令人鼓舞的是类固醇上的CCleaner(见下文)几乎被完全擦除了。
我知道
其他信息泄漏源 ,但由于某种原因,它们不属于本文的主题。 在此还应注意,CCleaner几乎擦除了所有内容,或者还有其他免费分发的实用程序。
这些清单1.与网络和Internet有关的所有内容 (有关“本地”存储的故事的文章中未包括)。 但是CCleaner和
Privazer做到了 。 应当立即指出,从文章结尾的决策开始,对于类固醇而言,使用CCleaner有时会增加这种能力。
2.与连接USB设备的历史有关的所有内容 。 要查看和删除它,可以使用例如
Usboblivion 。
3.与文件系统有关的所有内容 。 “永久”删除文件并清除可用空间(与“不可恢复的删除”相同,但先前删除的文件保留在文件系统中)。 通常,与删除的文件可以还原的事实有关的问题。 同时,应该提到Windows图像的缩略图缓存,它具有存储甚至已经删除的图像的缩略图的能力。 CCleaner和Privazer也知道如何清洁一切。
4.与保存文件的
恢复点 (“卷影副本”)相关的所有内容,包括具有未锁定数据的系统注册表。 您可以使用NirSoft实用程序(无需进行系统回滚)连接,查看和还原文件/文件夹(而无需进行系统回滚),也可以使用它们从注册表文件中读取信息。 您可以使用CCleaner删除恢复点。 在创建点之前,您可以运行“扫描”以清除不必要的信息,然后再进行保存。
5.这是注册表分支 。
HKEY_USERS\<SID >\Software
在这里写入他们的程序数据,包括可移植的数据。 他们留在这里。 而且,如果您想隐藏某些程序的使用,那么最好检查该线程,并删除数据(如果有的话)。
6.与无牌软件的安装有关的所有事情 ,由警察程序
Defacto引入上帝的
视野 。
Lpro也有一个“免费的类似物”(尽管我有一个非常不充分的假设,即基于它或基于它的构想的Defacto引擎是制造出来的)。 但是,与Defacto不同,她仅确定软件已付费,而不是“侵犯版权和相关权”。
出口,恕我直言-不要使用此功能。 除了有关此主题的著名软件门户网站,我还可以提供(如果有的话,这不是广告,与这些网站无关):
-GiveAwayOfTheDay 。 他们每天分发一个许可程序(您可以订阅新闻通讯)。
-COMSS网站上的免费许可证 。 免费(适用于各种股票)许可的软件和订阅。 例如,现在有一年的免费VPN促销。 还有我用于研究的Reg Organizer方便的注册表编辑器。 甚至还有Acronis True Image和2TB加密云存储等等。 “多少钱?” -“赠品,先生”(个)。 (您可以订阅新闻通讯;从某种意义上讲,不是胡闹的笑话,而是本网站)。
关于该主题的材料,但本文末尾的“来源”除外那么,最后如何消灭它们呢?
我建议以下选项供考虑和批评:升级CCleaner(我认为这对用户更方便,更忠实,因为它排除了另一辆自行车的发明),并且
使用bat文件覆盖Windows日志。
另外,以下是您自己的解决方案,以bat文件的形式提供,但是,即使在我看来,
也不建议使用它(尤其是因为它仅覆盖最基本的窗口,并且主要覆盖Windows 10)。 除非我建议阅读代码注释。
升级CCleaner +为他添加规则+删除Windows日志的蝙蝠文件
首先,您需要下载并运行
CCEnhancer ,执行“更新”(根据页面上的说明)。 只需确保选择并单击此菜单项(在关闭CCleaner之后,如果已启动):
否则,winapp2.ini文件将包含与大众极为相关的100500条规则,例如Zaika Spectrum仿真器的清洁规则(也许有人甚至还记得这样的计算机),但是这极大地抑制了CCleaner。
然后,您需要转到安装CCleaner的文件夹。 在此处找到winapp2.ini文件,向他表示祝贺并打开它(例如,在nodepad ++中)。
在文件末尾添加以下内容: [All Prefetch] Section=Windows10 Default=False FileKey1=%WinDir%\Prefetch|*.pf;*.db;*.fx;*.7db;*.ini;*.ebd;*.bin|RECURSE [AppCompatFlags Layer] Section=Windows10 Default=False RegKey1=HKCU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers [Explorer RunMRU] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU [OpenSaveFilesView] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder RegKey2=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder RegKey3=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy RegKey4=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU [UserAssist] Section=Windows10 Default=True RegKey1=HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist [DiagnosedApplications] Section=Windows10 Default=False RegKey1=HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications [BAM] Section=Windows10 Default=True RegKey1=HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\.DEFAULT RegKey2=HKLM\SYSTEM\ControlSet001\Services\bam\UserSettings\.DEFAULT [MountedDevices] Section=Windows10 Default=True RegKey1=HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [Panther] Section=Windows10 Default=True FileKey1=%WinDir%\Panther|*.*|RECURSE [Minidump] Section=Windows10 Default=True FileKey1=%WinDir%\Minidump|*.*
保存文件。
创建的bat文件以清除所有Windows日志:1.必须在计算机上创建一个文本文件,例如,使用
OEM 866(DOS)编码的 nodepad ++(否则,可能会出现krakozyabra,而不是俄语字母)。 将文本复制到其中并保存。 重命名文件,将.txt扩展名替换为.bat
2.您需要代表管理员运行它(否则将显示错误“您必须代表管理员运行此脚本”)。
REM Last- ActivityView. Windows @ECHO OFF REM , DOS-866 CHCP 866 COLOR A CLS REM ---------------------------------------------------------------------------------------- REM FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==() GOTO errNoAdmin IF (%adminTest%)==(Access) GOTO errNoAdmin REM ---------------------------------------------------------------------------------------- ECHO 1 ENTER ECHO. SET /p doset=" : " ECHO. REM ---------------------------------------------------------------------------------------- REM ---------------------------------------------------------------------------------------- REM . 1 - IF %doset% NEQ 1 EXIT REM ------------------------------------------------------------------------------------------ REM Windows. , CCleaner, wevtutil ECHO. ECHO Windows FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") ECHO. ECHO ECHO. REM ------------------------------------------------------------------------------------------ PAUSE EXIT :do_clear ECHO %1 wevtutil.exe cl %1 GOTO :eof :errNoAdmin COLOR 4 ECHO ECHO. PAUSE
以防万一,在第一次启动之前,您需要创建一个恢复点您还可以
在此处 (俄语)阅读所有CCleaner基本规则及其应用后果的详细且易于理解的描述。
运行蝙蝠文件。 等待作业完成。
打开CCleaner,转到其中的“清理”。
选择以下规则在Windows选项卡上
在“应用程序”标签上
如果您使用FireFox和Thunderbird ,则建议使用以下规则:
有必要考虑到 ,对于FireFox,保存的站点密码将被删除(进入站点时必须重新输入)。 但是您可以取消选中“保存的密码”规则。
执行清理。
选项2-使用蝙蝠文件
使用说明书这是一个Alpha版本,理论上它可能会破坏某些内容,因此,使用该工具的风险和风险由我们自己承担。
第一次,在开始之前,通过设置系统还原点。1.必须在计算机上创建一个文本文件,例如使用
以OEM 866(DOS)编码的 nodepad ++(否则,可能会出现krakozyabra,而不是俄语字母)。 将文本复制到其中,并通过重命名文件进行保存,将扩展名.txt替换为.bat
2. 仔细阅读有关其代码
的注释 (因为还描述了与混搭相关的负面方面)
3.以管理员身份运行(否则将显示错误“您必须以管理员身份运行此脚本”)。
4.如果没有注册表项或文件夹,则脚本应跳过此操作。
(这不是错误,找不到并跳过) 蝙蝠文件文字抱歉,找不到突出显示的批处理文件。
REM Last- ActivityView. 1 Alpha @ECHO OFF REM , DOS-866 CHCP 866 REM - ... , COLOR A CLS REM ---------------------------------------------------------------------------------------- REM FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V IF (%adminTest%)==() GOTO errNoAdmin IF (%adminTest%)==(Access) GOTO errNoAdmin REM ---------------------------------------------------------------------------------------- REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! REM 1 , , . REM (\ ..) REM .. 2-3 REM 1. - Windows .. , , ( .. ) REM - Prefetch SuperFetch REM 2. REM - - REM ...AppCompatFlags\Layers REM 3. REM , " ", REM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! REM ---------------------------------------------------------------------------------------- REM ECHO. ECHO ! ECHO , , - ECHO. ECHO. REM , NirSoft ECHO 1 - REM , . REM ( NirSoft ) REM : REM 1. , , (- Perfect SuperFetch) REM 2. (Minidump) REM 3. "" REM 4. , " ". REM ( ) ECHO 2 - , Perfect Minidump REM . .2 + Windows ECHO 3 - , Perfect Windows ECHO ENTER ECHO. SET /p doset=" : " ECHO. REM ---------------------------------------------------------------------------------------- REM ---------------------------------------------------------------------------------------- REM . 1 2 3 - IF %doset% NEQ 1 ( IF %doset% NEQ 2 ( IF %doset% NEQ 3 EXIT ) ) REM ---------------------------------------------------------------------------------------- REM ------------------------------------------------------------------------------------------ REM Windows, 3. , wevtutil REM NirSoft - LastActivityView IF %doset% EQU 3 ( ECHO. ECHO Windows FOR /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G") ECHO. ECHO ECHO. ) REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ShellBag. , "" REM NirSoft - LastActivityView, ExecutedProgramsList, ShellBagsView ECHO. ECHO ShellBag - REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU" /f REG DELETE "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags" /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU" /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags" /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM Explorer. "" ECHO. ECHO Explorer - REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ComDlg32. "\" " " REM NirSoft - LastActivityView ECHO. ECHO OpenSave LastVisited - REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\FirstFolder" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU" /va /f REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRULegacy" /va /f REM ( NirSoft - OpenSaveFilesView) REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM 1 .. 2 3 IF %doset% NEQ 1 ( REM UserAssist. "" REM NirSoft - UserAssistView ECHO. ECHO UserAssist - REG DELETE "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" /f REG ADD "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" ECHO. ) REM ------------------------------------------------------------------------------------------ REM AppCompatCache ECHO. ECHO AppCompatCache - REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" /va /f REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM DiagnosedApplications. Windows ECHO. ECHO DiagnosedApplications - REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications" /f REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM SID - FOR /F "tokens=2" %%i IN ('whoami /user /fo table /nh') DO SET usersid=%%i REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM Search. ECHO. ECHO Search - REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps" /f REG ADD "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Search\RecentApps" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM BAM. REM , . REM bat , , portable- ECHO. ECHO Background Activity Moderator - REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\UserSettings\%usersid%" /va /f REG DELETE "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\bam\UserSettings\%usersid%" /va /f ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM AppCompatFlags ECHO. ECHO AppCompatFlags - REM NirSoft - ExecutedProgramsList REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /va /f REM 1 .. 2 3 IF %doset% NEQ 1 ( REM , " " " " REM NirSoft - AppCompatibilityView REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /va /f ) ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM "" .. TrueCrypt ECHO. ECHO MountedDevices - ECHO. REG DELETE "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f REG ADD "HKEY_USERS\%usersid%\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ REM ECHO. REM NirSoft - JumpListsView, RecentFilesView ECHO Recent - DEL /f /q %APPDATA%\Microsoft\Windows\Recent\*.* DEL /f /q %APPDATA%\Microsoft\Windows\Recent\CustomDestinations\*.* DEL /f /q %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\*.* ECHO ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ ECHO. ECHO Panther - DEL /f /q %systemroot%\Panther\*.* ECHO ECHO. REM ------------------------------------------------------------------------------------------ REM ------------------------------------------------------------------------------------------ ECHO. ECHO AppCompat - DEL /f /q %systemroot%\appcompat\Programs\*.txt DEL /f /q %systemroot%\appcompat\Programs\*.xml DEL /f /q %systemroot%\appcompat\Programs\Install\*.txt DEL /f /q %systemroot%\appcompat\Programs\Install\*.xml ECHO ECHO. REM ---- REM ------------------------------------------------------------------------------------------ IF %doset% NEQ 1 ( ECHO. REM Prefetch. , . Windows REM NirSoft - LastActivityView, ExecutedProgramsList ECHO Prefetch - DEL /f /q %systemroot%\Prefetch\*.pf DEL /f /q %systemroot%\Prefetch\*.ini DEL /f /q %systemroot%\Prefetch\*.7db DEL /f /q %systemroot%\Prefetch\*.ebd DEL /f /q %systemroot%\Prefetch\*.bin REM SuperFetch. SuperFetch DEL /f /q %systemroot%\Prefetch\*.db REM Trace. DEL /f /q %systemroot%\Prefetch\ReadyBoot\*.fx ECHO ECHO. ECHO. ECHO Minidump - REM REM NirSoft - LastActivityView DEL /f /q %systemroot%\Minidump\*.* ECHO ) ECHO. REM ------------------------------------------------------------------------------------------ PAUSE EXIT :do_clear ECHO %1 wevtutil.exe cl %1 GOTO :eof :errNoAdmin COLOR 4 ECHO ECHO. PAUSE
最终在使用第一个或第二个选项之后,您可以运行NirSoft实用程序以查看我们是否达到了预期的效果。
利润...现在,最主要的是喂狗,不要碰任何东西。然后她将再次开始写歌剧。蝙蝠和CCleaner解决方案的可能使用场景- 单独使用。此外,在“私人案件”中完全覆盖杂志是有意义的
- 制作一个单个bat文件,该文件首先覆盖日志,而不是其他所有文件-调用CCleaner,也就是说,删除日志后,将调用:“ C:\ Program Files \ CCleaner \ CCleaner64.exe” / AUTOS
- 将这个bat文件放在启动位置(这可能会解决在Windows 10上同时运行CCleaner的问题)
- bat- Windows, « ». gpedit.msc — « » — « Windows» — « (/)» — « ».
资料来源
- Procmon SysinternalsSuite , c — … NirSoft. (.) .
- Windows registry and forensics: 1 2 . (.)
- () CodeBy . Forensics Windows Registry (.) .
- 第二十清理Windows日志(ANL) 。
- 文章创建自己的CCleaner规则。
顺便说一下,为什么要进行法医抵抗1?如果涉及到2,这一点将变得很清楚。