求助，电脑痕迹深度清理

★沙鲸

年底检查工作电脑，现有工具只能做到表面清理，用RG自检后还是会有USB等深度使用痕迹。
求助各位18CM分享一款电脑痕迹深度清理工具，谢啦～

猎熊刀刀

文件备份，直接重装

★沙鲸

猎熊刀刀 发表于 2024-12-24 10:42
文件备份，直接重装

不能重装，重装视为抵抗检查

悠然大笨猪

什么单位，这么狠，这算不算侵犯私隐？好像前段时间新闻也说过这个话题。

ttt5t5t

你这相当于问Windows的这些使用记录存在哪
建议去微软官方论坛问问 涉及系统层面了
可能在系统的事件查看器里面
我认为那帮做检查软件的草台班子技术力不会太强

Nospel

1、NewSID备份系统SID，Transwiz备份用户数据，FastCopy在PE下带权限拷走Program Files、Program Files (x86)、ProgramData文件夹
2、格C盘重装系统
3、照备份顺序还原前面的备份（三个文件夹仍需在PE下FastCopy带权限拷回去，删除C盘目标文件夹后拷回）
彻底干净
部分软件缺注册表项就覆盖安装一下

hellol1

要不然，自己带个移动SSD，里面装份系统，摸鱼的时候启动移动SSD系统，干正事的时候启动本机系统。。。

或者平时启动移动SSD的系统，应付检查的时候启动本机系统。。。

xy.

hellol1 发表于 2024-12-24 11:54
要不然自己带个移动SSD，里面装一份系统，摸鱼的时候就启动这个移动SSD的系统。干正事的时候启动本机的系统 ...

仅达成你说的效果不用那么麻烦, 从 vhdx 启动就可以了

xy.

gbawrc 发表于 2024-12-24 11:53
你也不是什么涉密部门，
我认为那帮做检查软件的草台班子技术力不会太强
也不会在你一个普通员工身上耗费 ...

看公司意愿吧, 如果急着给社会输送人才, 这就是一个无损优化的好机会.

dcl2009

新建一个账户呢？检查的时候切到另一个账户，并且停用当前账户

buxiang110

如果是在使用一段时间后，备份系统，这次再还原备份，就没啥事了。还不算重装，systeminfo一切正常，系统又超级干净。

fureiya611

BoosterX

shadow404

Nospel 发表于 2024-12-24 11:30
1、NewSID备份系统SID，Transwiz备份用户数据，FastCopy在PE下带权限拷走Program Files、Program Files (x8 ...

好像还可以

uufaelaef01

搞到检查工具，看会扫哪里

相思风雨中

物理清洁，然后报告IT电脑坏不开机。

★沙鲸

主要就是USB痕迹，问题是这玩意儿注册表删不掉

非人寄

之前是上级检查，然后单位it部门会带检查工具来自查，有配套工具清理来着

fangl2002

检查USB痕迹？嘿嘿

mhsk

这种事情以后还是少做，电脑公私不分，有时候会出大事，要慎之又慎。

44434610

既然公司会查，那就别在上面搞事情。自己带个笔记本或者玩玩手机好了。就非要在公司的电脑上玩？？？？

nagashinn

啥usb痕迹,机箱不是放铁盒子里插不了u盘么,你偷密码哥钥匙啦?那可真刑

zhoupy

公司明文规定不让插usb你还插了？还好多次？

abmain

年底BM检查？

我輩樹である

肯定估计检查到最后，一堆人插，最后来个法不责众。

一个人的世界

网上查到的资料可以看看，注册表之外还有很多地方有痕迹。
调查已知USB设备是否在特定主机上挂载过或特定主机挂载过哪些USB设备是电子数据取证工作中常见的鉴定需求。注册表、Setupapi.dev.log文件及事件日志包含的信息对上述鉴定需求具有直接的重要意义，Recent文件夹、automaticDestinations-ms文件和IconCache.db文件则一般通过USB设备存放的文件信息辅助间接进行证明。另外，当部分注册表表项或系统文件内容被删除时，需针对操作系统整体环境进行深入挖掘才可能关联出USB设备使用痕迹。

Windows 7系统分区下的WindowsinfSetupapi.dev.log文件（Windows XP环境下则为Windows set upapi.log）包含有关设备更换、驱动程序更改和重要系统修改等数据。从图5可以看出，该文件记载有制造厂商、设备类型、设备序列号、首次挂载时间等详细的USB设备信息。基于该文件进行调查分析一般可以获得与注册表同样的效果。

IconCache.db是Windows操作系统用于缓存图标的文件，在Windows 7系统中该文件位于C:Users UsernameAppDataLocal文件夹下
用户使用Windows系统的过程中，系统会逐渐向IconCache.db文件添加文件图标、文件存储路径等信息。当用户把USB存储设备连接至计算机系统后，如果USB存储设备的根目录下包含可执行程序，无论它是否运行，其文件名称、图标、存储位置、USB设备盘符等信息就会自动添加至IconCache.db数据库中。此外，如果用户浏览的文件夹含有可执行程序，也会自动追加相应信息。基于IconCache.db文件分析USB设备使用痕迹的局限是需要对应文件夹下有可执行程序，并且只能分析出盘符信息

为了方便计算机用户快速查找最近使用过的文件，Windows操作系统设置了Recent文件夹，该文件夹默认存放路径为UsersUserNameAppDataRoaming MicrosoftWindowsRecent（Windows XP下则为Docu ments and SettingsUserNameRecent）Recent文件夹下存放的实际是文件（或文件夹及应用程序）的快捷方式文件，其扩展名为lnk。此类快捷方式文件包含的有目标文件属性及用户操作信息，这些信息会跟随用户行为改变而发生改变,使用工具可以解析出内嵌于快捷方式文件中的目标文件信息，主要包括目标文件路径、创建时间、修改时间、访问时间等。

Windows 7事件日志增加了对USB设备的审核，事件日志中例如会有USB设备卸载要求被拒绝记录

★沙鲸

一个人的世界 发表于 2024-12-26 10:55
网上查到的资料可以看看，注册表之外还有很多地方有痕迹。
调查已知USB设备是否在特定主机上挂载过或特定主 ...

最后还是搞定了注册表～痕迹木有了～

c2h6o

之前客户单位检查USB之前都是有对应工具清理的，所以要搞清他们的检测方法，然后才能对应处理。