admin管理员组文章数量:1531430
2024年6月17日发(作者:)
如何手动彻底消除U盘使用痕迹
(2009-11-12 172234)
一、原理
有人说,这样不如用软件来清除啦,如USBClear,UsbCleaner,UsbViewer
等。我试过,可以告诉你,上面这3个软件不管用!用专门检测工具一样可以查
出来。
就拿像上网痕迹来说吧,就算你怎样清除、重装、格式化硬盘,专门的检测
工具一样也可查到,而且上网记录是从你第一次使用IE开始,我给自己的电脑
深度检测了一下,结果是2003年的上网记录也出来了,无奈啊。没办法啦,近
来检查多,刚好手头上有这类检测工具,所以也来研究一下。
通过检测工具检测发现USB使用记录是从重装系统那天开始记录的。那如
果重装可以消除,即说明,USB使用记录的确是保存在系统盘中,可以清除。
但上网记录就没办法清了,我想非低格不可,但没试过。查阅过网上有许多资料,
发现下面这个内容有用,所以就拿来分享了,呵呵。
作为操作系统,它不会保存无意义的U盘使用痕迹(如果故意设置后门当然
不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。
Windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也
会保留.log的日志以方便排错。
对于计算机系统来说,U盘这样一个东西,实际是多个设备协同工作的系统。
这样一个系统包括通用串行总线-USB设备(含USB接口大容量存储设备 -USB
Mass Storage Device)、磁盘驱动器、存储卷。
从用户角度看,应该顺序是反过来的。首先关心的是实际存储数据的卷。那
么,操作系统必须为用户关心的卷保留指向具体设备的信息。对于每款U盘,
厂方会写入制造商和产品信息,文本形式表示为Ven_XXXX&Prod_XXXX;数字
形式表示为Vid_nnnn&Pid_nnnn;制造商和产品的ID均为4位16进制数字,加
上四位版本号,对于一款产品可以用12位16进制硬件编号来表示,也就是24bit
长度ID,跟网卡的MAC有点类似) (为什么硬件设备中24位长经常出现呢),不
过与MAC地址不同,U盘是以32bit厂的2进制数作为唯一标识的。
对应的注册键值
HKLMCurrentControlSetSystemCurrentControlSetControlClass下的 通用串行总线
{36FC9E60-C465-11CF-80000} 磁盘驱动器
{4D36E967-E325-11CE-BFC1-08002BE10318} 存储卷
{71A27CDD-812A-11D0-BEC7-08002BE2092F} 每次插入,对
HKLMCurrentControlSetSystemCurrentControlSetServicesUSBSTOR Enum 下的
Count 和 NextInstance 进行改写,并依据NextInstance 建立一个临时索引,拔
除时则反向操作。
但是容易让人迷惑的是,Windows 如何区分插入的U盘时曾经挂在过,驱
动已经定位的设备呢 我们注意到四个存储卷相关的项目
{53f56307-b6bf-11d0-94f2-00a0c91efb8b} 磁盘驱动器注册位置,
DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路径,如
果路径以USBSTOR开头,则表示是移动存储介质。
{53f56308-b6bf-11d0-94f2-00a0c91efb8b} 光驱注册位置,
DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路径,如
果路径以USBSTOR开头,则表示是移动存储介质。
{53f5630a-b6bf-11d0-94f2-00a0c91efb8b} 可移动卷注册位置,所有项目也会
出现在{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 中;
{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 及其所有曾经挂载的卷的注册位
置,DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnumSTORAGE
下的路径,如果路径以RemovableMedia开头,则表示是移动存储介质。
版权声明:本文标题:如何手动彻底消除U盘使用痕迹 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1718556036a695447.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论