wking's blog

  • IT技术
  • 系统封装
  • 大航海时代
  • 日常随笔
  • 关于博客
GOD'S IN HIS HEAVEN, ALL'S RIGHT WITH THE WORLD.
  1. 首页
  2. IT技术
  3. 正文

如何手动彻底消除U盘使用痕迹

2012-07-06 849点热度 1人点赞 0条评论

人说,这样不如用软件来清除啦,如USBClear,UsbCleaner,UsbViewer等。我试过,可以告诉你,上面这3个软件不管用!用专门检测工具一样可以查出来。

就拿像上网痕迹来说吧,就算你怎样清除、重装、格式化硬盘,专门的检测工具一样也可查到,而且上网记录是从你第一次使用IE开始,我给自己的电脑深度检测了一下,结果是2003年的上网记录也出来了,无奈啊。没办法啦,近来检查多,刚好手头上有这类检测工具,所以也来研究一下。

通过检测工具检测发现USB使用记录是从重装系统那天开始记录的。那如果重装可以消除,即说明,USB使用记录的确是保存在系统盘中,可以清除。但上网记录就没办法清了,我想非低格不可,但没试过。查阅过网上有许多资料,发现下面这个内容有用,所以就拿来分享了,呵呵。

作为操作系统,它不会保存无意义的U盘使用痕迹(如果故意设置后门当然不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。 Windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也会保留*.log的日志以方便排错。

对于计算机系统来说,U盘这样一个东西,实际是多个设备协同工作的系统。这样一个系统包括:通用串行总线-USB设备(含USB接口大容量存储设备 -USB Mass Storage Device)、磁盘驱动器、存储卷。

从用户角度看,应该顺序是反过来的。首先关心的是实际存储数据的卷。那么,操作系统必须为用户关心的卷保留指向具体设备的信息。对于每款U盘,厂方会写入制造商和产品信息,文本形式表示为:Ven_XXXX&Prod_XXXX;数字形式表示为:Vid_nnnn&Pid_nnnn;制造商和产品的ID均为4位16进制数字,加上四位版本号,对于一款产品可以用12位16进制硬件编号来表示,也就是24bit长度ID,跟网卡的MAC有点类似:) (为什么硬件设备中24位长经常出现呢?),不过与MAC地址不同,U盘是以32bit厂的2进制数作为唯一标识的。

对应的注册键值HKLM/CurrentControlSet/System/CurrentControlSet/Control/Class下的: 通用串行总线{36FC9E60-C465-11CF-8056-444553540000} 磁盘驱动器{4D36E967-E325-11CE-BFC1-08002BE10318} 存储卷{71A27CDD-812A-11D0-BEC7-08002BE2092F} 每次插入,对HKLM/CurrentControlSet/System/CurrentControlSet/Services/USBSTOR /Enum 下的Count 和 NextInstance 进行改写,并依据NextInstance 建立一个临时索引,拔除时则反向操作。

但是容易让人迷惑的是,Windows 如何区分插入的U盘时曾经挂在过,驱动已经定位的设备呢? 我们注意到四个存储卷相关的项目:

{53f56307-b6bf-11d0-94f2-00a0c91efb8b} 磁盘驱动器注册位置,DeviceInstance值描述卷在 HKLM/SYSTEM/CurrentControlSet/Enum 下的路径,如果路径以USBSTOR开头,则表示是移动存储介质。

{53f56308-b6bf-11d0-94f2-00a0c91efb8b}       光驱注册位置,DeviceInstance值描述卷在 HKLM/SYSTEM/CurrentControlSet/Enum 下的路径,如果路径以USBSTOR开头,则表示是移动存储介质。

{53f5630a-b6bf-11d0-94f2-00a0c91efb8b} 可移动卷注册位置,所有项目也会出现在{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 中;

{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 及其所有曾经挂载的卷的注册位置,DeviceInstance值描述卷在 HKLM/SYSTEM/CurrentControlSet/Enum/STORAGE下的路径,如果路径以RemovableMedia开头,则表示是移动存储介质。

以及存储设备相关项目: {a5dcbf10-6530-11d2-901f-00c04fb951ed}用于注册USB存储设备,其子项代表某个USB存储设备,DeviceInstance值描述设备在 HKLM/SYSTEM/CurrentControlSet/Enum/USB 中的路径插入一个从来没有使用过的U盘,系统在HKLM/CurrentControlSet/System/CurrentControlSet /Services/USBSTOR/Enum 下创建代表某款产品12位16进制串为名称的键;

在 HKLM/SYSTEM/CurrentControlSet/Enum/USB 下建立 Vid 打头包含Vid_nnnn&Pid_nnnn形式制造商产品信息的键,在每个键下再以32bit设备ID的16进制串为名保存每个U盘的信息,其下Driver值为设备在{36FC9E60-C465-11CF-8056-444553540000}下的路径;

HKLM/SYSTEM/CurrentControlSet/Enum/USBSTOR 下则以Disk&Ven开头加上形如Ven_XXXX&Prod_XXXX 制造商产品信息来创建键值,同样的,其下也有32bit16进制串为名的U盘信息,其下Driver值则是设备在{4D36E967- E325-11CE-BFC1-08002BE10318}下的路径;

HKLM/SYSTEM/CurrentControlSet/Enum/STORAGE/RemovableMedia 项目下也会为相应的卷建立项目和键值,同样的,Driver值也是U盘所映射的卷在{71A27CDD-812A-11D0- BEC7-08002BE2092F}下的路径;同时,也会在setupapi.log 生成记录。

二、操作方法(摘自http://wenda.tianya.cn/wenda/thread?tid=1ff1f0118e343b94)

打开控制面板->管理工具->计算机管理

删除:

1. 往系统里面添加环境变量devmgr_shownonpresent_devices,值为1

2. 运行设备管理器,打开查看隐藏设备。展开磁盘驱动器、储存卷两处,把和U盘有关的Kill掉。

3. 打开计算机管理,把可移动存储相关的删除。

4. 把1中加入的系统环境变量删除。

到此为止,现在有可能还不能全部删除注册表中的usb使用记录,在HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USBSTOR中仍然可能会有使用记录,然后打开强大的regedt3

2工具,找到该项,修改权限,然后删除子项。另外HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USB中的一些和USB Storage Mass设备相关的也要删除。

清除注册表的U盘使用记录

1、按开始--〉运行,在输入框里输入命令:regedit

2、删除注册表中以下目录的USBSTOR子项。

(1)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/USBSTOR

(2)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USBSTOR

(3)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/USBSTOR

(4)HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR

删除上述USBSTOR子项后,一般保密检查软件就不能检查了。

如果需要彻底清除USB使用记录,完成上述操作后,可以接着如下的操作过程:

1、删除如下USB子项下除ROOT_HUB、ROOT_HUB20外的所有记录。

(1)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/USB

(2)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USB

(3)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum/USB

(4)HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USB

权限操作与上述操作一致。

2、删除DeviceClasses下的a5d...、53f...等含usb字眼的部分子项。

(1)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}

(2)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}

(3)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}

(4)HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/DeviceClasses/{53f56307-b6bf-11d0-94f2-00a0c91efb8b}/##?#USBSTOR#Disk&Ven_Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

......

(5)HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/DeviceClasses/{a5dcbf10-6530-11d2-901f-00c04fb951ed}

其他操作与上一个步骤相同。

第一步:通过硬件检测软件(EVEREST Ultimate)得到你的移动存储器的硬件编号,例如我的魅族E5为:Ven_SigmaTel&Prod_MSCN&Rev_0100/0002F68C022B070F&0。0002F68C022B070F&0为硬件编号,具有唯一性。

第二步:运行regedt32,查找“0002F68C022B070F&0” 在

1:HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/DeviceClasses/{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

2:HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/USBSTOR

3:HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/USBSTOR

4:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR

以上四处找到相关硬件信息:

类型SigmaTel MSCN USB Device(魅族E5)

编号0002F68C022B070F&0(魅族E5)

将其对应记录删除,其中2、3、4处须提升修改权限为“完全控制”。

实际效果:

1,用2种“U盘使用检测软件”监测不到使用记录。但网上检测软件千差万别,种类繁多,未一一测试。

2,删除四处键值后,再次插入E5,任务栏再次出现找到新硬件的提示并安装新硬件。

部分移动存储会安装自带的驱动和软件来实现加密、备份等功能,也会留下痕迹,这样添加的文件可以监控写入。手上没有这样的东东,无法讨论

转自http://blog.csdn.net/yongping8204/article/details/5838963

本作品采用 知识共享署名-非商业性使用 4.0 国际许可协议 进行许可
标签: 暂无
最后更新:2012-07-06

wking

不管博客型博主

点赞
< 上一篇
下一篇 >

文章评论

razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
取消回复

标签聚合
一支红杏 大航海时代 wordpress win10 内存 R6300V2 OneNote

COPYRIGHT © 2023 wkings.blog. ALL RIGHTS RESERVED.

Theme Kratos Made By Seaton Jiang