一、关于USB使用痕迹急***
我来说下:
如何彻底消除U盘使用痕迹?有人说,这样不如用软件来清除啦,如USBClear,UsbCleaner,UsbViewer等。我试过,可以告诉你,上面这3个软件不管用!用专门检测工具一样可以查出来。就拿像上网痕迹来说吧,就算你怎样清除、重装、格式化硬盘,专门的检测工具一样也可查到,而且上网记录是从你第一次使用IE开始,我给自己的电脑深度检测了一下,结果是2003年的上网记录也出来了,无奈啊。没办法啦,近来检查多,刚好手头上有这类检测工具,所以也来研究一下。通过检测工具检测发现USB使用记录是从重装系统那天开始记录的。那如果重装可以消除,即说明,USB使用记录的确是保存在系统盘中,可以清除。但上网记录就没办法清了,我想非低格不可,但没试过。查阅过网上有许多资料,发现下面这个内容有用,所以就拿来分享了,呵呵。【作为操作系统,它不会保存无意义的U盘使用痕迹(如果故意设置后门当然不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。 Windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也会保留*.log的日志以方便排错。对于计算机系统来说,U盘这样一个东西,实际是多个设备协同工作的系统。这样一个系统包括:通用串行总线-USB设备(含USB接口大容量存储设备-USB Mass Storage Device)、磁盘驱动器、存储卷。从用户角度看,应该顺序是反过来的。首先关心的是实际存储数据的卷。那么,操作系统必须为用户关心的卷保留指向具体设备的信息。对于每款U盘,厂方会写入制造商和产品信息,文本形式表示为:Ven_XXXX&Prod_XXXX;数字形式表示为:Vid_nnnn&Pid_nnnn;制造商和产品的ID均为4位16进制数字,加上四位版本号,对于一款产品可以用12位16进制硬件编号来表示,也就是24bit长度ID,跟网卡的MAC有点类似:)(为什么硬件设备中24位长经常出现呢?),不过与MAC地址不同,U盘是以32bit厂的2进制数作为唯一标识的。对应的注册键值HKLM\CurrentControlSet\System\CurrentControlSet\Control\Class下的:通用串行总线{36FC9E60-C465-11CF-8056-444553540000}磁盘驱动器{4D36E967-E325-11CE-BFC1-08002BE10318}存储卷{71A27CDD-812A-11D0-BEC7-08002BE2092F}每次插入,对HKLM\CurrentControlSet\System\CurrentControlSet\Services\USBSTOR\Enum下的Count和 NextInstance进行改写,并依据NextInstance建立一个临时索引,拔除时则反向操作。但是容易让人迷惑的是,Windows如何区分插入的U盘时曾经挂在过,驱动已经定位的设备呢?我们注意到四个存储卷相关的项目:{53f56307-b6bf-11d0-94f2-00a0c91efb8b}磁盘驱动器注册位置,DeviceInstance值描述卷在 HKLM\SYSTEM\CurrentControlSet\Enum下的路径,如果路径以USBSTOR开头,则表示是移动存储介质。{53f56308-b6bf-11d0-94f2-00a0c91efb8b}光驱注册位置,DeviceInstance值描述卷在 HKLM\SYSTEM\CurrentControlSet\Enum下的路径,如果路径以USBSTOR开头,则表示是移动存储介质。{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}可移动卷注册位置,所有项目也会出现在{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}中;{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}及其所有曾经挂载的卷的注册位置,DeviceInstance值描述卷在 HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE下的路径,如果路径以RemovableMedia开头,则表示是移动存储介质。以及存储设备相关项目:{a5dcbf10-6530-11d2-901f-00c04fb951ed}用于注册USB存储设备,其子项代表某个USB存储设备,DeviceInstance值描述设备在 HKLM\SYSTEM\CurrentControlSet\Enum\USB中的路径插入一个从来没有使用过的U盘,系统在HKLM\CurrentControlSet\System\CurrentControlSet\Services\USBSTOR\Enum下创建代表某款产品12位16进制串为名称的键;在 HKLM\SYSTEM\CurrentControlSet\Enum\USB下建立 Vid打头包含Vid_nnnn&Pid_nnnn形式制造商产品信息的键,在每个键下再以32bit设备ID的16进制串为名保存每个U盘的信息,其下Driver值为设备在{36FC9E60-C465-11CF-8056-444553540000}下的路径; HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR下则以Disk&Ven开头加上形如Ven_XXXX&Prod_XXXX制造商产品信息来创建键值,同样的,其下也有32bit16进制串为名的U盘信息,其下Driver值则是设备在{4D36E967- E325-11CE-BFC1-08002BE10318}下的路径; HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\RemovableMedia项目下也会为相应的卷建立项目和键值,同样的,Driver值也是U盘所映射的卷在{71A27CDD-812A-11D0- BEC7-08002BE2092F}下的路径;同时,也会在setupapi.log生成记录。
以上仅供参考,谢谢!
二、windows7的usb连接痕迹存储在
Windows7的USB连接痕迹不存储在注册表和系统目录下的日志文件setupapi.log中。
在Windows7中,USB连接痕迹不直接存储在注册表和系统目录下的日志文件setupapi.log中。日志文件主要用于记录设备安装和卸载信息,非专门用于跟踪USB连接活动。要查找与USB设备相关的信息,要使用其他工具或方法来分析操作系统事件日志、设备管理器、驱动程序记录等来源。
三、如何清除usB使用痕迹
在日常生活的使用U盘过程当中,系统会记录下大量U盘的使用记录信息,那么接下来小编就来同大家分享介绍如何删除掉这些使用记录的方法知识。
往系统里面添加环境变量devmgr_shownonpresent_devices,值为12.运行设备管理器,打开查看隐藏设备。展开磁盘驱动器、储存卷两处,把和U盘有关的Kill掉。3.打开计算机管理,把可移动存储相关的删除。4.把1中加入的系统环境变量删除。
到此为止,现在有可能还不能全部删除注册表中的usb使用记录,在HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSBSTOR中仍然可能会有使用记录,然后打开强大的regedt32工具,找到该项,修改权限。
然后删除子项,另外HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSB中的一些和USB Storage Mass设备相关的也要删除。
清除注册表的U盘使用记录:
1、按开始--〉运行,在输入框里输入命令:regedit2、删除注册表中以下目录的USBSTOR子项
(1)HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR(2)HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSBSTOR(3)HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBSTOR(4)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR删除上述USBSTOR子项后,一般保密检查软件就不能检查了
如果需要彻底清除USB使用记录,完成上述操作后,可以接着如下的操作过程:
1、删除如下USB子项下除ROOT_HUB、ROOT_HUB20外的所有记录
(1)HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB(2)HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSB(3)HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSB(4)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB
权限操作与上述操作一致:
2、删除DeviceClasses下的a5d...、53f...等含usb字眼的部分子项
(1)HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClasses{a5dcbf10-6530-11d2-901f-00c04fb951ed}
(2)HKEY_LOCAL_MACHINESYSTEMControlSet002ControlDeviceClasses{a5dcbf10-6530-11d2-901f-00c04fb951ed}
(3)HKEY_LOCAL_MACHINESYSTEMControlSet003ControlDeviceClasses{a5dcbf10-6530-11d2-901f-00c04fb951ed}
(4)HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClasses{53f56307-b6bf-11d0-94f2-00a0c91efb8b}##?#USBSTOR#Disk&Ven_Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
其他操作与上一个步骤相同:
简单方法:其实也没必要那么麻烦,以管理员帐户登录,在进入注册表后(XP可以在"运行"中输入"regedit",2k输入"regedit32"),在"编辑"->"查找"中输入"USBSTOR",只选择"项",不要选择"值"和"数据"可以加快查询速度。
然后"确定".将搜到的含有"USBSTOR"的"项"全部干掉(每删除一项就按"F3").如果有不能删除的,请右键选择"权限",进入权限设置。
选择"允许""完全控制"就可以,如果不放心,在注册表中,将鼠标选中"我的电脑",接着按"F3",再查询删除一次就好了。
