求助,电脑痕迹深度清理
年底检查工作电脑,现有工具只能做到表面清理,用RG自检后还是会有USB等深度使用痕迹。求助各位18CM分享一款电脑痕迹深度清理工具,谢啦~ 文件备份,直接重装 猎熊刀刀 发表于 2024-12-24 10:42
文件备份,直接重装
不能重装,重装视为抵抗检查[偷笑] 毫无疑问,当然是格式化C盘重装系统最干净[流汗] 什么单位,这么狠,这算不算侵犯私隐?好像前段时间新闻也说过这个话题。 你这相当于问Windows的这些使用记录存在哪
建议去微软官方论坛问问 涉及系统层面了
可能在系统的事件查看器里面
我认为那帮做检查软件的草台班子技术力不会太强 本帖最后由 Nospel 于 2024-12-24 11:31 编辑
1、NewSID备份系统SID,Transwiz备份用户数据,FastCopy在PE下带权限拷走Program Files、Program Files (x86)、ProgramData文件夹
2、格C盘重装系统
3、照备份顺序还原前面的备份(三个文件夹仍需在PE下FastCopy带权限拷回去,删除C盘目标文件夹后拷回)
彻底干净
部分软件缺注册表项就覆盖安装一下 本帖最后由 hellol1 于 2024-12-24 11:59 编辑
要不然,自己带个移动SSD,里面装份系统,摸鱼的时候启动移动SSD系统,干正事的时候启动本机系统。。。[狂笑]
或者平时启动移动SSD的系统,应付检查的时候启动本机系统。。。[偷笑] hellol1 发表于 2024-12-24 11:54
要不然自己带个移动SSD,里面装一份系统,摸鱼的时候就启动这个移动SSD的系统。干正事的时候启动本机的系统 ...
仅达成你说的效果不用那么麻烦, 从 vhdx 启动就可以了 gbawrc 发表于 2024-12-24 11:53
你也不是什么涉密部门,
我认为那帮做检查软件的草台班子技术力不会太强
也不会在你一个普通员工身上耗费 ...
看公司意愿吧, 如果急着给社会输送人才, 这就是一个无损优化的好机会. 新建一个账户呢?检查的时候切到另一个账户,并且停用当前账户 如果是在使用一段时间后,备份系统,这次再还原备份,就没啥事了。还不算重装,systeminfo一切正常,系统又超级干净。 BoosterX Nospel 发表于 2024-12-24 11:30
1、NewSID备份系统SID,Transwiz备份用户数据,FastCopy在PE下带权限拷走Program Files、Program Files (x8 ...
好像还可以[偷笑] 搞到检查工具,看会扫哪里 物理清洁,然后报告IT电脑坏不开机。 主要就是USB痕迹,问题是这玩意儿注册表删不掉[晕倒] 之前是上级检查,然后单位it部门会带检查工具来自查,有配套工具清理来着 检查USB痕迹?嘿嘿 这种事情以后还是少做,电脑公私不分,有时候会出大事,要慎之又慎。 既然公司会查,那就别在上面搞事情。自己带个笔记本或者玩玩手机好了。就非要在公司的电脑上玩???? 啥usb痕迹,机箱不是放铁盒子里插不了u盘么,你偷密码哥钥匙啦?那可真刑 公司明文规定不让插usb你还插了?还好多次? 年底BM检查? 肯定估计检查到最后,一堆人插,最后来个法不责众。 本帖最后由 一个人的世界 于 2024-12-26 11:01 编辑
网上查到的资料可以看看,注册表之外还有很多地方有痕迹。
调查已知USB设备是否在特定主机上挂载过或特定主机挂载过哪些USB设备是电子数据取证工作中常见的鉴定需求。注册表、Setupapi.dev.log文件及事件日志包含的信息对上述鉴定需求具有直接的重要意义,Recent文件夹、automaticDestinations-ms文件和IconCache.db文件则一般通过USB设备存放的文件信息辅助间接进行证明。另外,当部分注册表表项或系统文件内容被删除时,需针对操作系统整体环境进行深入挖掘才可能关联出USB设备使用痕迹。
Windows 7系统分区下的WindowsinfSetupapi.dev.log文件(Windows XP环境下则为Windows set upapi.log)包含有关设备更换、驱动程序更改和重要系统修改等数据。从图5可以看出,该文件记载有制造厂商、设备类型、设备序列号、首次挂载时间等详细的USB设备信息。基于该文件进行调查分析一般可以获得与注册表同样的效果。
IconCache.db是Windows操作系统用于缓存图标的文件,在Windows 7系统中该文件位于C:Users UsernameAppDataLocal文件夹下
用户使用Windows系统的过程中,系统会逐渐向IconCache.db文件添加文件图标、文件存储路径等信息。当用户把USB存储设备连接至计算机系统后,如果USB存储设备的根目录下包含可执行程序,无论它是否运行,其文件名称、图标、存储位置、USB设备盘符等信息就会自动添加至IconCache.db数据库中。此外,如果用户浏览的文件夹含有可执行程序,也会自动追加相应信息。基于IconCache.db文件分析USB设备使用痕迹的局限是需要对应文件夹下有可执行程序,并且只能分析出盘符信息
为了方便计算机用户快速查找最近使用过的文件,Windows操作系统设置了Recent文件夹,该文件夹默认存放路径为UsersUserNameAppDataRoaming MicrosoftWindowsRecent(Windows XP下则为Docu ments and SettingsUserNameRecent)Recent文件夹下存放的实际是文件(或文件夹及应用程序)的快捷方式文件,其扩展名为lnk。此类快捷方式文件包含的有目标文件属性及用户操作信息,这些信息会跟随用户行为改变而发生改变,使用工具可以解析出内嵌于快捷方式文件中的目标文件信息,主要包括目标文件路径、创建时间、修改时间、访问时间等。
Windows 7事件日志增加了对USB设备的审核,事件日志中例如会有USB设备卸载要求被拒绝记录 一个人的世界 发表于 2024-12-26 10:55
网上查到的资料可以看看,注册表之外还有很多地方有痕迹。
调查已知USB设备是否在特定主机上挂载过或特定主 ...
最后还是搞定了注册表~痕迹木有了~ 之前客户单位检查USB之前都是有对应工具清理的,所以要搞清他们的检测方法,然后才能对应处理。
页:
[1]
2