如何手動徹底消除U盤使用痕跡

1、如何手動徹底消除U盤使用痕跡(2009-11-12 172234)一、原理有人說，這樣不如用軟件來清除啦，如USBClear，UsbCleaner，UsbViewer等。我試過，可以告訴你，上面這3個軟件不管用!用專門檢測工具一樣可以查出來。就拿像上網痕跡來說吧，就算你怎樣清除、重裝、格式化硬盤，專門的檢測工具一樣也可查到，而且上網記錄是從你第一次使用IE開始，我給自己的電腦深度檢測了一下，結果是2003年的上網記錄也出來了，無奈啊。沒辦法啦，近來檢查多，剛好手頭上有這類檢測工具，所以也來研究一下。通過檢測工具檢測發(fā)現(xiàn)USB使用記錄是從重裝系統(tǒng)那天開始記錄的。那如果重裝可以消除，即說明，USB

2、使用記錄的確是保存在系統(tǒng)盤中，可以清除。但上網記錄就沒辦法清了，我想非低格不可，但沒試過。查閱過網上有許多資料，發(fā)現(xiàn)下面這個內容有用，所以就拿來分享了，呵呵。作為操作系統(tǒng)，它不會保存無意義的U盤使用痕跡(如果故意設置后門當然不同)，這些相關痕跡實際應該是操作系統(tǒng)快速識別移動存儲設備必須的信息。 Windows一般使用注冊表來存儲這樣的信息，但是對于系統(tǒng)的重要更改，一般也會保留.log的日志以方便排錯。對于計算機系統(tǒng)來說，U盤這樣一個東西，實際是多個設備協(xié)同工作的系統(tǒng)。這樣一個系統(tǒng)包括通用串行總線-USB設備(含USB接口大容量存儲設備 -USB Mass Storage Device)、磁盤驅

3、動器、存儲卷。從用戶角度看，應該順序是反過來的。首先關心的是實際存儲數據的卷。那么，操作系統(tǒng)必須為用戶關心的卷保留指向具體設備的信息。對于每款U盤，廠方會寫入制造商和產品信息，文本形式表示為Ven_XXXX&Prod_XXXX;數字形式表示為Vid_nnnn&Pid_nnnn;制造商和產品的ID均為4位16進制數字，加上四位版本號，對于一款產品可以用12位16進制硬件編號來表示，也就是24bit長度ID，跟網卡的MAC有點類似) (為什么硬件設備中24位長經常出現(xiàn)呢)，不過與MAC地址不同，U盤是以32bit廠的2進制數作為唯一標識的。對應的注冊鍵值HKLMCurrentCon

4、trolSetSystemCurrentControlSetControlClass下的 通用串行總線36FC9E60-C465-11CF-8056-444553540000 磁盤驅動器4D36E967-E325-11CE-BFC1-08002BE10318 存儲卷71A27CDD-812A-11D0-BEC7-08002BE2092F 每次插入，對HKLMCurrentControlSetSystemCurrentControlSetServicesUSBSTOR Enum 下的Count 和 NextInstance 進行改寫，并依據NextInstance 建立一個臨時索引，拔除時則反向

5、操作。但是容易讓人迷惑的是，Windows 如何區(qū)分插入的U盤時曾經掛在過，驅動已經定位的設備呢 我們注意到四個存儲卷相關的項目53f56307-b6bf-11d0-94f2-00a0c91efb8b 磁盤驅動器注冊位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路徑，如果路徑以USBSTOR開頭，則表示是移動存儲介質。53f56308-b6bf-11d0-94f2-00a0c91efb8b 光驅注冊位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnum 下的路徑，如果路徑以

6、USBSTOR開頭，則表示是移動存儲介質。53f5630a-b6bf-11d0-94f2-00a0c91efb8b 可移動卷注冊位置，所有項目也會出現(xiàn)在53f5630d-b6bf-11d0-94f2-00a0c91efb8b 中;53f5630d-b6bf-11d0-94f2-00a0c91efb8b 及其所有曾經掛載的卷的注冊位置，DeviceInstance值描述卷在 HKLMSYSTEMCurrentControlSetEnumSTORAGE下的路徑，如果路徑以RemovableMedia開頭，則表示是移動存儲介質。以及存儲設備相關項目 a5dcbf10-6530-11d2-901f-0

7、0c04fb951ed用于注冊USB存儲設備，其子項代表某個USB存儲設備，DeviceInstance值描述設備在 HKLMSYSTEMCurrentControlSetEnumUSB 中的路徑插入一個從來沒有使用過的U盤，系統(tǒng)在HKLMCurrentControlSetSystemCurrentControlSet ServicesUSBSTOREnum 下創(chuàng)建代表某款產品12位16進制串為名稱的鍵;在 HKLMSYSTEMCurrentControlSetEnumUSB 下建立 Vid 打頭包含Vid_nnnn&Pid_nnnn形式制造商產品信息的鍵，在每個鍵下再以32bit設備

8、ID的16進制串為名保存每個U盤的信息，其下Driver值為設備在36FC9E60-C465-11CF-8056-444553540000下的路徑;HKLMSYSTEMCurrentControlSetEnumUSBSTOR 下則以Disk&Ven開頭加上形如Ven_XXXX&Prod_XXXX 制造商產品信息來創(chuàng)建鍵值，同樣的，其下也有32bit16進制串為名的U盤信息，其下Driver值則是設備在4D36E967- E325-11CE-BFC1-08002BE10318下的路徑;HKLMSYSTEMCurrentControlSetEnumSTORAGERemovableM

9、edia 項目下也會為相應的卷建立項目和鍵值，同樣的，Driver值也是U盤所映射的卷在71A27CDD-812A-11D0- BEC7-08002BE2092F下的路徑;同時，也會在setupapi.log 生成記錄。 二、操作方法打開控制面板-管理工具-計算機管理刪除：1. 往系統(tǒng)里面添加環(huán)境變量devmgr_shownonpresent_devices，值為12. 運行設備管理器，打開查看隱藏設備。展開磁盤驅動器、儲存卷兩處，把和U盤有關的Kill掉。3. 打開計算機管理，把可移動存儲相關的刪除。4. 把1中加入的系統(tǒng)環(huán)境變量刪除。到此為止，現(xiàn)在有可能還不能全部刪除注冊表中的usb使用記

10、錄，在HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSBSTOR中仍然可能會有使用記錄，然后打開強大的regedt32工具，找到該項，修改權限，然后刪除子項。另外HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSB中的一些和USB Storage Mass設備相關的也要刪除。清除注冊表的U盤使用記錄1、按開始-運行，在輸入框里輸入命令：regedit2、刪除注冊表中以下目錄的USBSTOR子項。（1）HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR（2）HKEY_LOCAL

11、_MACHINESYSTEMControlSet002EnumUSBSTOR（3）HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBSTOR（4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR刪除上述USBSTOR子項后，一般保密檢查軟件就不能檢查了。如果需要徹底清除USB使用記錄，完成上述操作后，可以接著如下的操作過程：1、刪除如下USB子項下除ROOT_HUB、ROOT_HUB20外的所有記錄。（1）HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB（2）H

12、KEY_LOCAL_MACHINESYSTEMControlSet002EnumUSB（3）HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSB（4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB權限操作與上述操作一致。2、刪除DeviceClasses下的a5d.、53f.等含usb字眼的部分子項。（1）HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed（2）HKEY_LO

13、CAL_MACHINESYSTEMControlSet002ControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed（3）HKEY_LOCAL_MACHINESYSTEMControlSet003ControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed（4）HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClasses53f56307-b6bf-11d0-94f2-00a0c91efb8b#USBSTOR#Disk&Ven_

14、Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#53f56307-b6bf-11d0-94f2-00a0c91efb8b.（5）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceClassesa5dcbf10-6530-11d2-901f-00c04fb951ed其他操作與上一個步驟相同。 第一步：通過硬件檢測軟件（EVEREST Ultimate）得到你的移動存儲器的硬件編號，例如我的魅族E5為：Ven_SigmaTel&Prod_MSCN&Rev_01000

15、002F68C022B070F&0。0002F68C022B070F&0為硬件編號，具有唯一性。第二步運行regedt32,查找“0002F68C022B070F&0” 在1：HKEY_LOCAL_MACHINESYSTEMControlSet001ControlDeviceClasses53f56307-b6bf-11d0-94f2-00a0c91efb8b2：HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTOR3：HKEY_LOCAL_MACHINESYSTEMControlSet002EnumUSBSTOR4：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR以上四處找到相關硬件信息：類型SigmaTel