如何手动彻底消除U盘使用痕迹.docVIP

如何手动彻底消除U盘使用痕迹 (2009-11-12 172234) 一、原理 有人说，这样不如用软件来清除啦，如USBClear，UsbCleaner，UsbViewer等。我试过，可以告诉你，上面这3个软件不管用!用专门检测工具一样可以查出来。 就拿像上网痕迹来说吧，就算你怎样清除、重装、格式化硬盘，专门的检测工具一样也可查到，而且上网记录是从你第一次使用IE开始，我给自己的电脑深度检测了一下，结果是2003年的上网记录也出来了，无奈啊。没办法啦，近来检查多，刚好手头上有这类检测工具，所以也来研究一下。 通过检测工具检测发现USB使用记录是从重装系统那天开始记录的。那如果重装可以消除，即说明，USB使用记录的确是保存在系统盘中，可以清除。但上网记录就没办法清了，我想非低格不可，但没试过。查阅过网上有许多资料，发现下面这个内容有用，所以就拿来分享了，呵呵。 作为操作系统，它不会保存无意义的U盘使用痕迹(如果故意设置后门当然不同)，这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。 Windows一般使用注册表来存储这样的信息，但是对于系统的重要更改，一般也会保留.log的日志以方便排错。 对于计算机系统来说，U盘这样一个东西，实际是多个设备协同工作的系统。这样一个系统包括通用串行总线-USB设备(含USB接口大容量存储设备 -USB Mass Storage Device)、磁盘驱动器、存储卷。 从用户角度看，应该顺序是反过来的。首先关心的是实际存储数据的卷。那么，操作系统必须为用户关心的卷保留指向具体设备的信息。对于每款U盘，厂方会写入制造商和产品信息，文本形式表示为Ven_XXXXProd_XXXX;数字形式表示为Vid_nnnnPid_nnnn;制造商和产品的ID均为4位16进制数字，加上四位版本号，对于一款产品可以用12位16进制硬件编号来表示，也就是24bit长度ID，跟网卡的MAC有点类似) (为什么硬件设备中24位长经常出现呢)，不过与MAC地址不同，U盘是以32bit厂的2进制数作为唯一标识的。 对应的注册键值HKLMCurrentControlSetSystemCurrentControlSetControlClass下的 通用串行总线{36FC9E60-C465-11CF-8056-444553540000} 磁盘驱动器{4D36E967-E325-11CE-BFC1-08002BE10318} 存储卷{71A27CDD-812A-11D0-BEC7-08002BE2092F} 每次插入，对HKLMCurrentControlSetSystemCurrentControlSetServicesUSBSTOR Enum 下的Count 和 NextInstance 进行改写，并依据NextInstance 建立一个临时索引，拔除时则反向操作。 但是容易让人迷惑的是，Windows 如何区分插入的U盘时曾经挂在过，驱动已经定位的设备呢 我们注意到四个存储卷相关的项目 {53f56307-b6bf-11d0-94f2-00a0c91efb8b} 磁盘驱动器注册位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路径，如果路径以USBSTOR开头，则表示是移动存储介质。 {53f56308-b6bf-11d0-94f2-00a0c91efb8b} 光驱注册位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路径，如果路径以USBSTOR开头，则表示是移动存储介质。 {53f5630a-b6bf-11d0-94f2-00a0c91efb8b} 可移动卷注册位置，所有项目也会出现在{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 中; {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 及其所有曾经挂载的卷的注册位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnumSTORAGE下的路径，如果路径以RemovableMedia开头，则表示是移动存储介质。 以及存储设备相关项目 {a5dcbf10-6530-11d2-901f-00c04fb951ed}用于注册USB存储设备，其子项代表某个USB存储设备，DeviceInstance值描述设备在 HKLMSYSTEMCurrentControlSetEnumUSB 中的路径插入一个从来没有使用过的U盘，系统在HKLMCurrentControlSetSystemCurrentControlSet ServicesUS