如何手動(dòng)徹底消除U盤使用痕跡

1、如何手動(dòng)徹底消除U盤使用痕跡(2009-11-12 172234)一、原理有人說，這樣不如用軟件來清除啦，如USBClear，UsbCleaner，UsbViewer等。我試過，可以告訴你，上面這3個(gè)軟件不管用!用專門檢測工具一樣可以查出來。就拿像上網(wǎng)痕跡來說吧，就算你怎樣清除、重裝、格式化硬盤，專門的檢測工具一樣也可查到，而且上網(wǎng)記錄是從你第一次使用IE開始，我給自己的電腦深度檢測了一下，結(jié)果是2003年的上網(wǎng)記錄也出來了，無奈啊。沒辦法啦，近來檢查多，剛好手頭上有這類檢測工具，所以也來研究一下。通過檢測工具檢測發(fā)現(xiàn)USB使用記錄是從重裝系統(tǒng)那天開始記錄的。那如果重裝可以消除，即說明，USB

2、使用記錄的確是保存在系統(tǒng)盤中，可以清除。但上網(wǎng)記錄就沒辦法清了，我想非低格不可，但沒試過。查閱過網(wǎng)上有許多資料，發(fā)現(xiàn)下面這個(gè)內(nèi)容有用，所以就拿來分享了，呵呵。作為操作系統(tǒng)，它不會保存無意義的U盤使用痕跡(如果故意設(shè)置后門當(dāng)然不同)，這些相關(guān)痕跡實(shí)際應(yīng)該是操作系統(tǒng)快速識別移動(dòng)存儲設(shè)備必須的信息。 Windows一般使用注冊表來存儲這樣的信息，但是對于系統(tǒng)的重要更改，一般也會保留.log的日志以方便排錯(cuò)。對于計(jì)算機(jī)系統(tǒng)來說，U盤這樣一個(gè)東西，實(shí)際是多個(gè)設(shè)備協(xié)同工作的系統(tǒng)。這樣一個(gè)系統(tǒng)包括通用串行總線-USB設(shè)備(含USB接口大容量存儲設(shè)備 -USB Mass Storage Device)、磁盤驅(qū)

3、動(dòng)器、存儲卷。從用戶角度看，應(yīng)該順序是反過來的。首先關(guān)心的是實(shí)際存儲數(shù)據(jù)的卷。那么，操作系統(tǒng)必須為用戶關(guān)心的卷保留指向具體設(shè)備的信息。對于每款U盤，廠方會寫入制造商和產(chǎn)品信息，文本形式表示為Ven_XXXX&Prod_XXXX;數(shù)字形式表示為Vid_nnnn&Pid_nnnn;制造商和產(chǎn)品的ID均為4位16進(jìn)制數(shù)字，加上四位版本號，對于一款產(chǎn)品可以用12位16進(jìn)制硬件編號來表示，也就是24bit長度ID，跟網(wǎng)卡的MAC有點(diǎn)類似) (為什么硬件設(shè)備中24位長經(jīng)常出現(xiàn)呢)，不過與MAC地址不同，U盤是以32bit廠的2進(jìn)制數(shù)作為唯一標(biāo)識的。對應(yīng)的注冊鍵值HKLMCurrentCon

4、trolSetSystemCurrentControlSetControlClass下的 通用串行總線36FC9E60-C465-11CF-8056-444553540000 磁盤驅(qū)動(dòng)器4D36E967-E325-11CE-BFC1-08002BE10318 存儲卷71A27CDD-812A-11D0-BEC7-08002BE2092F 每次插入，對HKLMCurrentControlSetSystemCurrentControlSetServicesUSBSTOR Enum 下的Count 和 NextInstance 進(jìn)行改寫，并依據(jù)NextInstance 建立一個(gè)臨時(shí)索引，拔除時(shí)則反向

5、操作。但是容易讓人迷惑的是，Windows 如何區(qū)分插入的U盤時(shí)曾經(jīng)掛在過，驅(qū)動(dòng)已經(jīng)定位的設(shè)備呢 我們注意到四個(gè)存儲卷相關(guān)的項(xiàng)目53f56307-b6bf-11d0-94f2-00a0c91efb8b 磁盤驅(qū)動(dòng)器注冊位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路徑，如果路徑以USBSTOR開頭，則表示是移動(dòng)存儲介質(zhì)。53f56308-b6bf-11d0-94f2-00a0c91efb8b 光驅(qū)注冊位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路徑，如果路徑以

6、USBSTOR開頭，則表示是移動(dòng)存儲介質(zhì)。53f5630a-b6bf-11d0-94f2-00a0c91efb8b 可移動(dòng)卷注冊位置，所有項(xiàng)目也會出現(xiàn)在53f5630d-b6bf-11d0-94f2-00a0c91efb8b 中;53f5630d-b6bf-11d0-94f2-00a0c91efb8b 及其所有曾經(jīng)掛載的卷的注冊位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnumSTORAGE下的路徑，如果路徑以RemovableMedia開頭，則表示是移動(dòng)存儲介質(zhì)。以及存儲設(shè)備相關(guān)項(xiàng)目 a5dcbf10-6530-11d2-901f-0

7、0c04fb951ed用于注冊USB存儲設(shè)備，其子項(xiàng)代表某個(gè)USB存儲設(shè)備，DeviceInstance值描述設(shè)備在 HKLMSYSTEMCurrentControlSetEnumUSB 中的路徑插入一個(gè)從來沒有使用過的U盤，系統(tǒng)在HKLMCurrentControlSetSystemCurrentControlSet ServicesUSBSTOREnum 下創(chuàng)建代表某款產(chǎn)品12位16進(jìn)制串為名稱的鍵;在 HKLMSYSTEMCurrentControlSetEnumUSB 下建立 Vid 打頭包含Vid_nnnn&Pid_nnnn形式制造商產(chǎn)品信息的鍵，在每個(gè)鍵下再以32bit設(shè)備

8、ID的16進(jìn)制串為名保存每個(gè)U盤的信息，其下Driver值為設(shè)備在36FC9E60-C465-11CF-8056-444553540000下的路徑;HKLMSYSTEMCurrentControlSetEnumUSBSTOR 下則以Disk&Ven開頭加上形如Ven_XXXX&Prod_XXXX 制造商產(chǎn)品信息來創(chuàng)建鍵值，同樣的，其下也有32bit16進(jìn)制串為名的U盤信息，其下Driver值則是設(shè)備在4D36E967- E325-11CE-BFC1-08002BE10318下的路徑;HKLMSYSTEMCurrentControlSetEnumSTORAGERemovableM

9、edia 項(xiàng)目下也會為相應(yīng)的卷建立項(xiàng)目和鍵值，同樣的，Driver值也是U盤所映射的卷在71A27CDD-812A-11D0- BEC7-08002BE2092F下的路徑;同時(shí)，也會在setupapi.log 生成記錄。 二、操作方法打開控制面板-管理工具-計(jì)算機(jī)管理刪除：1. 往系統(tǒng)里面添加環(huán)境變量devmgr_shownonpresent_devices，值為12. 運(yùn)行設(shè)備管理器，打開查看隱藏設(shè)備。展開磁盤驅(qū)動(dòng)器、儲存卷兩處，把和U盤有關(guān)的Kill掉。3. 打開計(jì)算機(jī)管理，把可移動(dòng)存儲相關(guān)的刪除。4. 把1中加入的系統(tǒng)環(huán)境變量刪除。到此為止，現(xiàn)在有可能還不能全部刪除注冊表中的usb使用記

10、錄，在HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSBSTOR中仍然可能會有使用記錄，然后打開強(qiáng)大的regedt32工具，找到該項(xiàng)，修改權(quán)限，然后刪除子項(xiàng)。另外HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSB中的一些和USB Storage Mass設(shè)備相關(guān)的也要?jiǎng)h除。清除注冊表的U盤使用記錄1、按開始-運(yùn)行，在輸入框里輸入命令：regedit2、刪除注冊表中以下目錄的USBSTOR子項(xiàng)。（1）HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR（2）HKEY_LOCAL

11、_MACHINESYSTEMControlSet002EnumUSBSTOR（3）HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBSTOR（4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR刪除上述USBSTOR子項(xiàng)后，一般保密檢查軟件就不能檢查了。如果需要徹底清除USB使用記錄，完成上述操作后，可以接著如下的操作過程：1、刪除如下USB子項(xiàng)下除ROOT_HUB、ROOT_HUB20外的所有記錄。（1）HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB（2）H

12、KEY_LOCAL_MACHINESYSTEMControlSet002EnumUSB（3）HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSB（4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB權(quán)限操作與上述操作一致。2、刪除DeviceClasses下的a5d.、53f.等含usb字眼的部分子項(xiàng)。（1）HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed（2）HKEY_LO

13、CAL_MACHINESYSTEMControlSet002ControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed（3）HKEY_LOCAL_MACHINESYSTEMControlSet003ControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed（4）HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClasses53f56307-b6bf-11d0-94f2-00a0c91efb8b#USBSTOR#Disk&Ven_

14、Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#53f56307-b6bf-11d0-94f2-00a0c91efb8b.（5）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed其他操作與上一個(gè)步驟相同。 第一步：通過硬件檢測軟件（EVEREST Ultimate）得到你的移動(dòng)存儲器的硬件編號，例如我的魅族E5為：Ven_SigmaTel&Prod_MSCN&Rev_01000

15、002F68C022B070F&0。0002F68C022B070F&0為硬件編號，具有唯一性。第二步運(yùn)行regedt32,查找“0002F68C022B070F&0” 在1：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClasses53f56307-b6bf-11d0-94f2-00a0c91efb8b2：HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR3：HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSBSTOR4：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR以上四處找到相關(guān)硬件信息：類型SigmaTel